Jump to content

Domäne, Gruppenrichtlinien einstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich hab schon ein wenig bei google gesucht und hier im Forum mal nach Gruppenrichtlinien gesucht, aber nichts gefunden was mir hätte helfen können.

 

Es geht um folgendes, wir haben hier im Büro einen Windows 2003 SBS mit aktiviertem Active-Directory wo 7 Clients eingetragen sind, die sich auch darüber anmelden. Was auch bis hierhin (mehr oder weniger) klappt.

 

Folgende Fragen sind da jetzt allerdings vorhanden, und zwar ist bei jedem Client (Windows XP + SP3) die Firewall von Windows aktiviert worden und das liegt ja daran das Windows die Domänen-Einstellungen verwendet.

 

Meine Frage ist, was stelle ich denn jetzt am Server ein damit er die Firewall für die ganzen Clients abstellt (kann man das auch pro PC separieren)?

 

Ich hoffe Ihr könnt mir helfen.

Mfg. Anubis

Link zu diesem Kommentar

Hallo,

 

grundsätzlich empfehle ich dir, erstmal ein Tutorial zum Thema AD und Gruppenrichtlinien anzuschauen. Hier findest du genug dazu.

 

Die Einstellungen selber findest du in der GPO bei Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Firewall .

 

Natürlich kannst du das auch separieren, in dem du die GPO an entsprechende OUs verknüpfst, in die du dann deine Clients verschiebst.

 

Du hast noch geschrieben , das die Anmeldung mehr oder weniger klappt. Gibt es hier auch noch Probleme? Dann solltest du dich bevor du mit den GPOs bzw OUs anfängst ersteinmal um diese Probleme kümmern.

 

Grüße

Link zu diesem Kommentar

Okay, da ich kein Abkürzungs-Spezi bin, musste ich eben erstmal Dr. Google fragen für was GPO steht.. :rolleyes:

 

Danke schon mal für den Link.. Das mit der Firewall und den Einstellungen habe ich nun hin bekommen. Ich hab auch gleich erstmal ein paar Ausnahmen eingetragen und nun bin ich zufrieden :)

 

Aber mal eine kleine grundlegende Frage zu diesen Richtlinien im allgemeinen... Übernehmen die Clients diverse Einstellungen nur wenn sie neu in die Domäne eingebunden worden sind, oder bei jedem Neustart?

 

Irgend jemand hatte freundlich wie er ist in den GPOs für die Clients eingestellt, dass sich nur Administratoren oder unser Praktikant anmelden darf, was mich ja zu Anfang wunderte. Dann stellte ich das wieder zurück auf Nicht definiert und dann hat er das bei einem Client nicht sofort nach dem Reboot übernommen...

 

Zumal der Jenige ein richtiger Spaßvogel war... Denn diese Einstellung war genau in dem Punkt Small Business Server-Windows-Firewall eingebunden :suspect:

Link zu diesem Kommentar
Aber mal eine kleine grundlegende Frage zu diesen Richtlinien im allgemeinen... Übernehmen die Clients diverse Einstellungen nur wenn sie neu in die Domäne eingebunden worden sind, oder bei jedem Neustart?

 

Lies doch einfach auf der Seite weiter. ;) Da werden solche Fragen beantwortet.

 

Nicht definiert und dann hat er das bei einem Client nicht sofort nach dem Reboot übernommen...

 

"Nicht definiert" heißt noch lange nicht, dass dann irgendwas automatisch zurückgestellt werden muß.

 

Bye

Norbert

Link zu diesem Kommentar
Lies doch einfach auf der Seite weiter ;) Da werden solche Fragen beantwortet.

Huch... Das ist ja richtig Umfangreich was man da alles einstellen kann...

 

Okay, das eine oder andere ist ganz nett oder erklärt sich von selbst und das kleine Beispiel mit der Einstellung für den Bildschirmschoner finde ich schon mal ganz nett... Ich hoffe die Seite existiert ewig, die werde ich mir wohl mal als Lesezeichen setzen :wink2:

 

Schon mal vielen Dank für die Seite und die Infos von Euch.. Endlich mal wieder was neues zum lernen.

 

Mfg. Anubis

Link zu diesem Kommentar

Na ja, aber ich hab noch nie wirklich mit den Gruppenrichtlinien gearbeitet. Ich hatte sonst immer nur Windows Server aufgesetzt, den AD Dienst eingerichtet und was so dazu gehört.

 

Anschließend nur noch User angelegt, Clients hinzugefügt und das wars eigentlich. Ein wenig Backup Planung auch, aber das wars sonst. Und auch wenn ich noch kein Urgestein bin mit meinen 25j. habe ich mit Windows NT 4 Server angefangen und noch NIE mit diesen Richtlinien gearbeitet... Peinlich peinlich :D

 

Aber man lernt ja nie aus... Und wenn die Seite seit 6 Jahren existiert, wird sie wohl auch noch ein wenig weiter bestehen bleiben. Und zur Not gibt es ja die Foren wo man noch mal anfragen kann ;)

Link zu diesem Kommentar

Wenn einfach "Irgend Jemand" an euren GPOs "herumwerkeln" darf , habt Ihr sowieso ein Grundsätzliches Rechteproblem.

 

Sowas sollte eigentlich nur dem Administrator und entsprechend abgestellten Personen gestattet sein. Wenn das bei euch jeder machen kann , habt ihr entweder zuviel Rechte vergeben oder zuviel Rechte vergeben :)

 

Weiterhin ist es zweckmässig, eine GPO erst einmal an einer Test OU mit entsprechenden Clients zu testen, da man auch ganz schnell Einstellungen ändern kann , mit denen man sich im schlimmsten Fall selber aussperrt. Insofern Testen und Rumspielen: Ja , aber nur in entsprechend abgesicherter Umgebung.

 

Grüße

Link zu diesem Kommentar

@Bloodie, das ist so...

Ich bin im Sommer 2006 in die Firma gekommen, der Server existiert schon ein wenig länger und zu der Zeit (vor mir) administrierte ein externer Dienstleister die Kiste. Ich bin dann im Sommer 2006 als Azubi (IT-System-kaufmann) in die Firma gekommen und mein Gebiet ist eigentlich die Suchmaschinen-Optimierung.

 

Da ich aber vorher schon für einen Bekannten hier und da ein wenig Systemadministrator technisch unterwegs war und ich hier und da Kenntnisse habe / hatte, bin ich an den Server ran gegangen da es zu Problemen kam ;)

 

Ich hab den Server auch immer gut im Griff gehabt, aber mit den GPOs hab ich mich halt bis dato nie befasst. Da ich von der Schule (IT Ausbildung) die Microsoft Lizenzen bekommen habe, werde ich mich wohl mal zum testen in einer vmWare zuhause damit genauer befassen.

 

Was meine "Arbeiten" am Server im Büro angeht, wenn ich den nun doch sperren sollte für mich oder so, spiele ich das Komplett-Image ein und dann geht es weiter. Wir sind nur ein 7 Personen Büro und das einzige was dann weg fallen könnte wenn der Server offline geht, sind die Netzlaufwerke.

 

Im Grunde ist das was wir da haben für uns schon überdimensioniert, da ich aber sonst (leider) nicht wirklich viel aus dem Bereich lerne oder erlebe, nutze ich schon mal die Chance :)

 

Aber eine kleine Frage habe ich da jetzt noch so nebenbei... In der AD hab ich ja meine Verbindung mit domain.local drin wo sich in dem Container Users meine ganzen Benutzer befinden. In meinen Gruppenrichtlinien befindet sich auch eine Organisationseinheit die genauso heißt wie die in der AD (z.B. SBSUsers) und wenn ich ja nun einem Benutzer oder einer Gruppe Rechte zuweisen möchte könnte ich den Benutzer rein Theoretisch aus dem Container Users in die OU SBSUsers packen, was man aber nicht macht wie ich gelesen habe.

 

Kann ich den User Dominik der sich im Container Users befindet, parallel in die OU SBSUsers packen mit Hilfe einer Verknüpfung, oder sollte ich da eine Gruppe anlegen und Diese da rein packen? Das müsste ja dann auch mit den Clients funktionieren, oder nicht?

 

Ich hab mal zum einfachen Verständnis einen Screenshot gemacht und hoffe man kann nachvollziehen was ich meine :)

 

win2k3-01.jpg

 

Aber schon mal Danke an Euch bis hier hin für die Tipps.

Mfg. Dominik

Link zu diesem Kommentar
In meinen Gruppenrichtlinien befindet sich auch eine Organisationseinheit die genauso heißt wie die in der AD (z.B. SBSUsers)...

Da ist nicht auch eine OU die genauso heisst, es ist die OU!

... und wenn ich ja nun einem Benutzer oder einer Gruppe Rechte zuweisen möchte könnte ich den Benutzer rein Theoretisch aus dem Container Users in die OU SBSUsers packen, was man aber nicht macht wie ich gelesen habe.

Wenn du das in einem Buch gelesen hast, dann schmeiss das Buch weg. Wenn es im Internet war, dann gehe bitte nie wieder auf diese Seite. Das ist großer Quatsch.

 

Die Benutzer kannst Du in einen Container oder in eine OU packen (wobei diese natprlich auch verschachtelt sein können. Da gibt es keine Verknüpfungen oder ähnliches. Das mit den Gruppen kannst Du auch vergessen. GPO wirken nicht auf Gruppen, sondern nur auf die einzelnen Benutzer-/Computer-Objekte.

Wenn ich mich nicht irre, dann sollten beim SBS aber die vorhandenen OU-Strukturen genutzt werden, da dort schon GPO konfiguriert sind. Demnach sollten die Userkonten in SBS-Users oder einer dort untergeordneten OU sein. Selbiges gilt natürlich auch für die Computerobjekte.

Link zu diesem Kommentar
Da ist nicht auch eine OU die genauso heisst, es ist die OU!

Ahh... Jetzt macht es klick... Und ich dachte das ist nur eine OU die genau so heißt und weil die so heißt, übergeben die das untereinander.. Sprich, ein Benutzer befindet sich in SBSUsers und bekommt die Richtlinien aus SBSUsers :)

 

Wenn du das in einem Buch gelesen hast, dann schmeiss das Buch weg. Wenn es im Internet war, dann gehe bitte nie wieder auf diese Seite. Das ist großer Quatsch.

Okay, dass ist eine Fehlinterpretation von mir gewesen, das steht ja auf der Internetseite anders als ich es jetzt vielleicht auch beschrieben hatte.. Aber weiter im Text :)

 

Wenn ich mich nicht irre, dann sollten beim SBS aber die vorhandenen OU-Strukturen genutzt werden, da dort schon GPO konfiguriert sind. Demnach sollten die Userkonten in SBS-Users oder einer dort untergeordneten OU sein. Selbiges gilt natürlich auch für die Computerobjekte.

Genau, dass dachte ich mir ja dann auch... Da ja in der Richtlinienverwaltung die OUs angegeben sind, mit der gleichen Struktur wie in der AD.

 

Demnach sollte (wenn ich mich jetzt nicht irre oder etwas falsches schreibe) ein neues Benutzer-Objekt unter SBSUsers zu finden sein und ein neues Computer-Objekt unter SBSComputers, richtig? Aber dann scheint hier vorher schon mal jemand was umgestellt zu haben.. Denn, wenn ein neues Benutzerkonto erstellt wird, taucht es unter Users auf...

 

win2k3-02.jpg

 

Ich habe mir nun einfach mal test weise den Praktikanten (Benutzer-Objekt) genommen und den von Users in SBSUsers verschoben. Dann bekommt er auch wieder seine Richtlinien etc. daran hängt es nicht und einloggen klappt auch, aber wenn ich dann über die Standardverwaltung ein Konto öffne kommt folgendes...

 

win2k3-03.jpg

 

win2k3-04.jpg

 

Oder ist das ein Fehler von mir? Denn das eine ist ja die "Erweiterte Verwaltung" und das andere (weiter oben) die "Standardverwaltung" und wenn ich jetzt mal an andere Betriebssysteme denke, mögen die das auch nicht so gerne wenn man immer zwischen Standard und Erweitert switcht, liege ich da richtig?? :wink2:

 

Edit1: Was mir noch einfällt, ein Computer-Objekt was ich der Domäne hinzufüge, wird in Computers und nicht in SBSComputers eingetragen. das ist doch auch nicht ganz richtig, oder?

bearbeitet von Anubis2k
Link zu diesem Kommentar

Hallo Anubis,

 

ein Computer, den du in die Domäne aufnimmst und dessen Konto du nicht händisch auf dem Server vorher anlegst, landet immer erst einmal im Verzeichnis "Computers" in der AD. Von hier aus verschiebst du als Admin dann das Objekt in die von dir gewünschte OU.

 

Benutzer legst du in der OU an, zu der sie gehören sollen.

 

Gruß Thomas

Link zu diesem Kommentar

Hm.. Okay, dann wird da das Thema oder ehr das Problemchen sein, dass die Benutzer einfach über die Stadardverwaltung angelegt worden sind und somit in Users liegen.

 

Ich bedanke mich dann schon mal vielmals für die Hilfe.

Ich habe mir nun erstmal über e-academy ein Win2k3 SBS besorgt und werde das mal über eine vmWare emulieren und ein wenig üben :)

 

Edit: Falls noch jemand über mein Thread hier stolpert...

Eine kleine Frage so am Rande die man mir eben erst mitteilte, Chef ist lokaler Admin auf seinem PC (Client11) und hat weil er ja immer sicher sein möchte, am Wochenende seinen Computer-Spezi darum gebeten ne Kasperski Software zu installieren mit Virenscanner und Firewall. Kann ich mit Hilfe der OU SBSComputers wo sich ja Client11 drin befindet eine externe Software-Firewall aushebeln und die Windows Firewall wieder primär in betrieb nehmen, ohne das ich da was direkt an seinem PC ändern muss? :shock:

bearbeitet von Anubis2k
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...