Jump to content

grundlegendes zu Gruppenrichtlinien


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute, ich bin es mal wieder im Bezug auf die Gruppenrichtlinien..

Wir bekommen (auf einmal) ab und an ein paar Praktikanten, die bekommen auch eigene Accounts von mir (ist ja kein Problem).

 

Dann ist mir eingefallen, bevor ich dem Praktikanten-Verzeichnis immer einen User mehr gebe, lege ich eine Gruppe "Praktikanten" an, diese wiederum ist Mitglied von "Benutzer"

 

Also die Freigaben auf dem Server sind für "Benutzer" freigegeben, und "Praktikanten" verweigert, mit Ausnahme dem Praktikanten-Ordner, da ist die Netzwerkfreigabe für Praktikanten offen.

 

So brauchte ich auf Partition D: nur sagen das Administratoren und Benutzer Vollzugriff haben, und beschränkt ist das durch die Netzwerk-Freigabe :) Was mich aber mal interessiert, die OU "Security-Groups" und dessen Inhalte, da ist niemand zugewiesen. Sind das Standard-Vorgaben die man entfernen kann?

 

Macht es Sinn die Gruppe "Praktikanten" dort hin zu verfrachten wie ich es gemacht habe (siehe Screenshot)? Also die Lösung funktioniert, meine Mitarbeiter und Kollegen kommen an alle Daten ran, wo sie ran sollen und die Praktikanten kommen nur an ihre Daten ran :)

 

Aber vielleicht löst man das ja sogar auf eine andere Art noch sinnvoller und da wollte ich mal fragen wie Ihr das so macht.

 

Screenshot:

Link zu diesem Kommentar

Dann ist mir eingefallen, bevor ich dem Praktikanten-Verzeichnis immer einen User mehr gebe, lege ich eine Gruppe "Praktikanten" an, diese wiederum ist Mitglied von "Benutzer"

 

Was hat das mit Gruppenrichtlinien zu tun?

 

Also die Freigaben auf dem Server sind für "Benutzer" freigegeben, und "Praktikanten" verweigert, mit Ausnahme dem Praktikanten-Ordner, da ist die Netzwerkfreigabe für Praktikanten offen.

 

Was hat das mit Gruppenrichtlinien zu tun? Ausserdem arbeitet man besser mit NTFS Rechten, anstatt an der Freigabe rumzuschrauben.

 

So brauchte ich auf Partition D: nur sagen das Administratoren und Benutzer Vollzugriff haben, und beschränkt ist das durch die Netzwerk-Freigabe :) Was mich aber mal interessiert, die OU "Security-Groups" und dessen Inhalte, da ist niemand zugewiesen. Sind das Standard-Vorgaben die man entfernen kann?

 

Kannst du mal erklären, wie du jetzt von deinen Freigabeberechtigungen auf die OU kommst und was genau das mit Gruppenrichtlinien zu tun hat?

 

 

Macht es Sinn die Gruppe "Praktikanten" dort hin zu verfrachten wie ich es gemacht habe (siehe Screenshot)? Also die Lösung funktioniert, meine Mitarbeiter und Kollegen kommen an alle Daten ran, wo sie ran sollen und die Praktikanten kommen nur an ihre Daten ran :)

 

Ist es nicht vollkommen Latte, wo die Gruppe im AD steht? ;)

 

Bye

Norbert

Link zu diesem Kommentar
Was hat das mit Gruppenrichtlinien zu tun? Ausserdem arbeitet man besser mit NTFS Rechten, anstatt an der Freigabe rumzuschrauben.

Joa, war auch sonst immer mein Vorgehen.. Doch als Chef dann meinte "Jetzt kommen die nächsten Wochen voll viele Praktikanten bla bla" wollte ich da erst mal irgend eine Lösung schaffen und da viel mir das sofort ein :D

 

Was hat das mit Gruppenrichtlinien zu tun?

Joa.. Ich überlege selbst gerade wie ich dabei auf Gruppenrichtlinien komme, denn mein Screenshot hat ja auch nichts mit den Gruppenrichtlinien gemein. Das ist ja nur die AD... :suspect:

 

Ich hätte vielleicht vorher erst mal den Denkapparat anstellen sollen... Es geht eigentlich ehr um die AD und die Zugriffe. Das was man ja in meinem Screenshot sieht, sind ja von Windows irgend welche vor gegebenen Gruppen mit denen man arbeiten könnte. Die können doch bestimmt weg (rein theoretisch), oder?

 

Gibt es einen grundlegenden Unterschied zwischen Distribution Groups und den Security Groups?

 

Und um noch mal auf die NTFS Freigaben zu kommen.. Ich habe Partition D:

D:
- Ordner 1 (Freigabe für Jeder, Praktikanten Verboten)
-- Unterordner 1
- Ordner 2 (Freigabe für Jeder, Praktikanten Verboten)
-- Unterordner 1
-- Unterordner 2
-- Praktikanten (Freigabe für Praktikanten)
-- Unterordner 3
- Ordner 3 (Freigabe für Jeder, Praktikanten Verboten)
-- Unterordner 1

Ich habe nun Administratoren und Benutzer für Ordner 1 und 2 Vollzugriff(NTFS) verpasst, dass ganze wird auch noch vererbt in die Unterordner. Ordner 3 haben nur Administatoren Vollzugriff(NTFS), da habe ich das ja über die NTFS Freigabe geregelt im Ordner 3.

 

Mein Hintergedanke war nur, eine gute Zugriff-Verteilung zu machen, ohne das ich viel bei den einzelnen Ordner eintragen muss. Ich hatte auch überlegt die Freigabe für Jeder auf Vollzugriff zu setzen und dann alles über die NTFS Regeln zu managen. Das ganze würde ja dann so aussehen,

D:
- Ordner 1 (Freigabe für Jeder)
-- Unterordner 1
- Ordner 2 (Freigabe für Jeder)
-- Unterordner 1
-- Unterordner 2
-- Praktikanten (Freigabe für Jeder)
-- Unterordner 3
- Ordner 3 (Freigabe für Jeder)
-- Unterordner 1

Ich würde dann Ordner 1 und 2 für Administratoren und Benutzer Vollzugriff machen, eine 3. Gruppe anlegen wo die Praktikanten rein kommen, die Vererbung für den Praktikanten Ordner abstellen, dort noch Praktikanten hinzufügen und gut ist. Ordner 3 würde ich weiterhin nur für Administratoren wie jetzt stehen lassen.

 

Ich hatte das schon mal getestet, eine neue Gruppe an zu legen, die Praktikanten heißt, aber dann wollte der Server die Anmeldung der User nicht zulassen, es sei denn sie befinden sich in der Gruppe Domänen-Benutzer. Die wiederum ist aber Mitglied von Benutzer und dann stehe ich ja wieder da wo ich nicht hin wollte. Die Praktikanten kommen da ran, wo sie ja nicht ran sollen :D

 

Darauf wollte ich eigentlich hinaus.. Vielleicht habe ich da irgend wo einen Fehler gemacht, aber den habe ich noch nicht so ganz gefunden :( Denn mein Plan war es ganz zu Anfang mal, mehrere Gruppen zu erstellen,

- Chefs

- Mitarbeiter

- Azubis

- Praktikanten

 

Aber irgend wie konnten die User in den Gruppen sich nicht anmelden, da sie keinen Zugriff hatten. Sie mussten (wieso auch immer) ein Mitglied von Benutzer sein. Da war auch mein Fehler...

 

So, ich hoffe ich konnte jetzt mein Problem ein wenig schildern.. Und das mit den Gruppenrichtlinien war ein falscher Gedanke und Ansatz von mir Persönlich, das tut mir leid.

Link zu diesem Kommentar
3. Mir kommt es vor, dass dir diverse Grundlagen fehlen, was das ganze Thema betrifft.

Joa, dass könnte sehr gut hinkommen...

 

2. Distribution Groups sind Verteilungsgruppe für Mail, mit diesen kann man keine Rechte vergeben. Security Groups kann man zur rechtevergabe nutzen und als Mail verteiler nutzen.

Hm.. Okay, ich glaube dann weiß ich ungefähr wieso es auch eine Verteiler Gruppe gibt :D

 

1. Irgendwie ist der Text ziemlich verwirrend.

Ohh.. Das war nicht gewollt.. Welcher Teil war denn von mir so verwirrend, alles oder nur ein bestimmter Teil? Dann verschaffe ich ein wenig Klarheit ;)

Link zu diesem Kommentar

Joa, war auch sonst immer mein Vorgehen.. Doch als Chef dann meinte "Jetzt kommen die nächsten Wochen voll viele Praktikanten bla bla" wollte ich da erst mal irgend eine Lösung schaffen und da viel mir das sofort ein :D

Solche Schnellschüsse fallen dir sowieso irgendwann auf die Füße. Ich würde da nicht "fiel" nachdenken und das nochmal richtig überdenken. ;)

 

Joa.. Ich überlege selbst gerade wie ich dabei auf Gruppenrichtlinien komme, denn mein Screenshot hat ja auch nichts mit den Gruppenrichtlinien gemein. Das ist ja nur die AD... :suspect:

Gut, ich dachte schon du meinst was, was du denkst aber niemand verstehts. Aber wenn auch du nicht weißt, was du eigentlich meinst ist alles ok. ;)

 

mit denen man arbeiten könnte. Die können doch bestimmt weg (rein theoretisch), oder?

Ich gehe davon aus, dass das ein SBS ist? Unabhängig davon, würde ich an deiner Stelle nichts löschen, wovon du "meinst" es nicht zu brauchen.

 

Gibt es einen grundlegenden Unterschied zwischen Distribution Groups und den Security Groups?

Ja. Wennd u nochmal kurz über die Namensgebung nachdenkst fällt er dir bestimmt auch ein. ;)

 

Und um noch mal auf die NTFS Freigaben zu kommen.

Was jetzt Freigaben oder NTFS?

 

Mein Hintergedanke war nur, eine gute Zugriff-Verteilung zu machen, ohne das ich viel bei den einzelnen Ordner eintragen muss.

Schonmal ein vernünftiger Gedanke.

 

Ich hatte auch überlegt die Freigabe für Jeder auf Vollzugriff zu setzen und dann alles über die NTFS Regeln zu managen. Das ganze würde ja dann so aussehen,

 

Ich würde dann Ordner 1 und 2 für Administratoren und Benutzer Vollzugriff machen, eine 3. Gruppe anlegen wo die Praktikanten rein kommen,

Kann man tun.

 

die Vererbung für den Praktikanten Ordner abstellen, dort noch Praktikanten hinzufügen und gut ist.

Warum willst du die Vererbung abschalten?

 

Ich hatte das schon mal getestet, eine neue Gruppe an zu legen, die Praktikanten heißt, aber dann wollte der Server die Anmeldung der User nicht zulassen, es sei denn sie befinden sich in der Gruppe Domänen-Benutzer. Die wiederum ist aber Mitglied von Benutzer und dann stehe ich ja wieder da wo ich nicht hin wollte. Die Praktikanten kommen da ran, wo sie ja nicht ran sollen

Häh?

 

Aber irgend wie konnten die User in den Gruppen sich nicht anmelden, da sie keinen Zugriff hatten. Sie mussten (wieso auch immer) ein Mitglied von Benutzer sein. Da war auch mein Fehler...

Doppel Häh?

 

Ich würde sagen, du schreibst nochmal hin, was du eigentlich meinst. ;) Zum Schluß sah das etwas wirr aus.

 

Bye

Norbert

Link zu diesem Kommentar

Ich gehe davon aus, dass das ein SBS ist?

Jap, dass ist es..

 

So, ich habe mal eine neue OU angelegt unter SBSUsers die ich SBSGroups genannt habe.. Ich weiß, nicht sehr kreativ.. :)

 

Ich habe D:\ordner1 via NTFS Richtlinien Administratoren und Benutzer Vollzugriff gegeben und dass habe ich vererbt.. Funktioniert auch soweit :) Dieser Ordner hat eine Freigabe (Jeder, Vollzugriff), klappt schon mal für mich als Benutzer.

 

Nun habe ich D:\ordner1\praktikanten auch Freigegeben (Jeder, Vollzugriff), denn nur da sollen die ja rein können.

 

So, in der neuen OU SBSGroups befindet sich eine Gruppe (Praktikanten) mit einem Mitglied Praktikant! Dieser User bekommt beim einloggen automatisch \\server\praktikanten als Laufwerk M: zugewiesen! Bis hier hin funktioniert alles. Wenn ich jetzt allerdings händisch \\server\ordner1 öffne, habe ich vollen Zugriff auf das Verzeichnis :(

 

Liegt das vielleicht daran das die Gruppe Benutzer Vollzugriff hat? Ist das vielleicht mein wirkliches Problem? :) Die Anmeldung hat nun problemlos funktioniert, keine Ahnung wieso es vorher nicht funktionierte.. Aber nun sind noch die Freigaben / die Verzeichnisse das Problem :shock:

 

Ich habe mal zwei Screenhots gemacht um das mal kurz zu verdeutlichen wie es für d:\ordner1\praktikanten aussieht :)

 

 

Ich hoffe ich konnte jetzt ein wenig Licht ins Dunkle bringen neben all der Verwirrung...

 

Warum willst du die Vererbung abschalten?

Ja, wenn ich schon so viel fummele, hätte ich ja wenigstens selbst mal darauf kommen können das ich die an lassen kann :D
Link zu diesem Kommentar

Soll in den Ordner Praktikanten nur die Praktikanten und keine sonstigen benutzer zugriff haben?

Wieso erstellst du den Ordner nicht direkt unter D:\ ?

Ich hatte das bisher immer so gemacht:

x:\Daten\

Darunter für einzelne Abteilungen Ordner, auf die nur die akteilungen zugriff haben (so wie es entsprechend gewünscht wurde) und dann entweder Daten direkt oder die Abteilungen einzelnt freigegeben.

Link zu diesem Kommentar
Wieso erstellst du den Ordner nicht direkt unter D:\ ?

Joa, dass war mein erster Gedanke, dann sind die komplett getrennt und so.. Aber Chef will ja unbedingt in den Praktikanten Ordner rein gucken und mit noch einer Freigabe kommt er nicht klar, er will das überall gleich haben.. Darum hat Chef bei sich und alle anderen festen Mitarbeiter D:\Ordner1 (\\Server\Ordner1) als M:\ eingebunden und darunter befindet sich dann das Praktikanten Verzeichnis.

Soll in den Ordner Praktikanten nur die Praktikanten und keine sonstigen Benutzer zugriff haben?

Tjoa, und da der Ordner Praktikanten ja ein Unterordner von Ordner1 ist, sollen alle in das Praktikanten Verzeichnis kommen, und die Praktikanten selbst nur in das Praktikanten Verzeichnis :) Aus dem Grund habe ich eine Netzwerk-Freigabe für D:\Ordner1 und eine für D:\Ordner1\Praktikanten erstellt.

Link zu diesem Kommentar

Ich habe D:\ordner1 via NTFS Richtlinien Administratoren und Benutzer Vollzugriff gegeben und dass habe ich vererbt.. Funktioniert auch soweit :) Dieser Ordner hat eine Freigabe (Jeder, Vollzugriff), klappt schon mal für mich als Benutzer.

OK.

 

Nun habe ich D:\ordner1\praktikanten auch Freigegeben (Jeder, Vollzugriff), denn nur da sollen die ja rein können.

OK. Damit das sinnvoll funktioniert, mußt du oben (Ordner1) entweder auch eine eigene Gruppe nutzen, oder die Azubis aus Benutzer entfernen oder mit Verweigerung arbeiten. Ich empfehle Nummer 1.

 

So, in der neuen OU SBSGroups befindet sich eine Gruppe (Praktikanten) mit einem Mitglied Praktikant!

Nur mal kurz zur Erinnerung. Wo die Gruppe "rumdümpelt" ist vollkommen egal.

 

Dieser User bekommt beim einloggen automatisch \\server\praktikanten als Laufwerk M: zugewiesen! Bis hier hin funktioniert alles. Wenn ich jetzt allerdings händisch \\server\ordner1 öffne, habe ich vollen Zugriff auf das Verzeichnis :(

Logo. Siehe oben.

 

Liegt das vielleicht daran das die Gruppe Benutzer Vollzugriff hat? Ist das vielleicht mein wirkliches Problem? :)

Ja.

 

Ja, wenn ich schon so viel fummele, hätte ich ja wenigstens selbst mal darauf kommen können das ich die an lassen kann :D

Hmm also die Abschaltung der Vererbung ist nach meinen Erkenntnissen so gut wie nur notwendig, wenn man NTFS Rechte nicht kapiert hat ;)

 

Bye

Norbert

Link zu diesem Kommentar

Ha.. Ich glaube nun habe ich es so hin bekommen wie ich es wollte :)

Also,

D:\Ordner1 (Netzwerkfreigabe, Jeder, Vollzugriff)
D:\Ordner2 (Netzwerkfreigabe, Jeder, Vollzugriff)
D:\Ordner3 (Netzwerkfreigabe, Jeder, Vollzugriff)
Dann habe ich noch folgendes gemacht... Bei den Sicherheitseinstellungen habe ich für diese Ordner nur noch Administratoren, Mitarbeiter, Chefs, Azubis freigegeben. Die Gruppe Benutzer habe ich entfernt!!

 

D:\Ordner1\Praktikanten (Netzwerkfreigabe, Jeder, Vollzugriff)

Hat die Vererbten Richtlinien, und zusätzlich hat er die Gruppe Praktikanten bekommen.

Nun habe ich mich eben mal von einem Client auf dem Server mit verschiedenen Accounts eingeloggt und geguckt. Die Praktikanten kommen nur in ihre Freigabe und auf alle anderen Daten können Sie nicht zugreifen. Und alle meine Mitarbeiter können nun auf alle Daten zugreifen wo sie ran sollen :)

 

Mir kam die Idee nur die Gruppe Benutzer aus den Richtlinien zu entfernen, als ich folgendes gesehen hatte...

 

Authentifizierte Benutzer schlug mir irgend wie ins Gesicht... Und meiner Meinung nach sind ja alle User die sich an der Domäne anmelden Authentifizierte Benutzer, oder irre ich mich?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...