Gruppenrichtlinien mischen?

[Maik 10]

Hallo an alle im Board,

 

ist es möglich oder exisitiert eine Möglichkeit, bereits konfigurierte Dienstkonten auf untergeordneten OUs mit nachträgilch über eine Policy per Domainpolicy zu erweitern bzw. zu mischen? Wir haben Server 2008 im Einsatz, die Domain wurde allerdings 2. migriert.

Hat jemand eine Ahnung?

 

Vielen Dank an alle!

[NorbertFe 2.034]

Kannst du nochmal genau sagen, was du erreichen willst? Ich kann aus deinen zwei Sätzen da oben leider nichts erkennen, um die Fragen sinnvoll zu beantworten. ;)

 

Bye

Norbert

[Maik 10]

Ja, natürlich.. Danke

Es exisiteren bereits hunderte von Sub OUs auf diesen sind pro OU teilweise Dienstaccounts vergeben, so unsere Vorgaben. Nun soll ein zusätzliches Dienstkonto auf allen Servern in allen Sub-OUs hinterlegt werden, da eine neue Software eingeführt wird. Sofern man den Dienst auf den Sub-OU Ebenen in den Policys definiert, haben wir ca. 300-600 Policys zu ändern.. Definieret man dieses auf höherer Ebene, wird die Einstellung überschrieben, klar ist näher am Objekt..

Hatte dieses Problem schon mal jemand?

Darum die Frage, ob GPO-Einstellungen gemischt werden können.

 

Gruß an alle..

[dmetzger 10]

Ich möchte da wie Norbert ebenfalls nachfragen, was Du uns sagen möchtest. :confused:

 

Geht es um administrative Delegierung für OUs, oder geht es um GPO-Delegierung (z.B. ein Dienstkonto für AGPM o.ä.). Im zweiten Fall helfen ggf. die GPMC Sample Scripts mit den Skripten GrantPermissionOnAllGPOs.wsf resp. SetGPOPermissionsBySOM.wsf.

 

Download: GPMC Sample Scripts - Microsoft Download Center - Download Details

Group Policy Management Console Scripting Samples

 

Wenns das nicht ist, dann formuliere Deine Frage nochmals und vor allem verständlich. :rolleyes:

[NilsK 2.934]

Moin,

 

darüber hinaus möchte ich anmerken, dass das, was man aus deinen Angaben zu eurer OU-, GPO- und Kontenstruktur erraten kann, so klingt, als solltet ihr mal eine Überarbeitung des Grund-Designs einplanen.

 

Gruß, Nils

[Maik 10]

Danke an Euch,

wir haben für diverse Kunden seperate OUs, in welchen jeweils innerhalb unterschiedliche Dienstkonsten pro Kunde definiert werden. Nun muss ein zusätzliches Dienstkonto definiert werden, welches in allen Kunden - OUs die Gültigkeit besitzen soll. Dieses ist gefordert und kann nicht durch ein Redesign neu definiert werden. Aus diesem Grund entstand die Frage nach einem "mischen"

[NilsK 2.934]

Moin,

 

vielleicht kannst du dich ja doch noch bequemen, deine wenig eindeutigen Darstellungen zu konkretisieren.

 

Was heißt etwa "Dienstkonten pro Kunde" und wie definiert ihr die "in" OUs? Wie kann ein Dienstkonto in OUs "gültig" sein?

 

Wenn du uns nicht sagst, was ihr da macht, können wir dir auch keine Hinweise geben, was ihr ändern solltet ...

 

Gruß, Nils

[NorbertFe 2.034]

Ich tippe mal auf "eingeschränkte Gruppen". Da wäre die Antwort dann nein, das funktioniert nicht additiv afair.

 

Bye

Norbert

[Maik 10]

Also nochmal: Pro Kunden-OU ein Dienstkonto je Kunde. Nun muss über alle Kunden ein globales Dienstkonto zweck Überwachung definiert werden. Wird es in der root definiert, werden alle untergeordneten OUs (Dienstkonteneinträge..) überschrieben. Dieses ist jedoch nicht gewollt.

[NorbertFe 2.034]

Ich sagte ja, additiv ist das nicht möglich.

 

Bye

Norbert