Karli1969 0 Geschrieben 19. Mai 2013 Melden Teilen Geschrieben 19. Mai 2013 Hallo zusammen, ich habe immer noch nicht so richtig verstanden, warum man OUs und Gruppen genau braucht, bzw wo der genaue Unterschied ist. Wie würde man das denn z.B. an einer Schule am besten machen? Sagen wir man nehme als Domainname schule.local . Innerhalb dieser Domäne legt man OUs an wie z.B. Lehrer, Schüler, Administratoren. Bei den Schülern könnte man Klassen und Kurse als Unter-OUs anlegen. Müsste man dann auch die gleichen Gruppen anlegen? Die entsprechenden Ordner werden dann vermutlich automatisch angelegt, wenn man für die Nutzer 'irgendwie' die Ordnerumleitung oder Servergespeicherte Profile anlegt. Oder müsste man noch manuell Ordner anlegen? Ich habe schon danach gegoogelt und auch einige Gute Treffer gefunden, aber so richtig ist der Groschen noch nicht gefallen. Wenn mir das jemand auseinanderklamüsern könnte, wäre ich heftig froh. Danke schon mal im Voraus und viele Grüße Karl Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 19. Mai 2013 Melden Teilen Geschrieben 19. Mai 2013 Gruppen nutzt man für berechtigungsvergabe und ous für administrative strukturierung. Zitieren Link zu diesem Kommentar
Karli1969 0 Geschrieben 19. Mai 2013 Autor Melden Teilen Geschrieben 19. Mai 2013 Oh, das ging aber schnell. :) Danke ! Aber die GPOs werden doch mit OUs verknüpt, Und gerade die GPOs enthalten doch auch Berechtigungsinformationen. Oder sind mit den Berechtigungsvergaben die NTFS-Berechtigungen gemeint? Macht es Sinn, generell für jede OU auch eine Gruppe anzulegen? Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 19. Mai 2013 Melden Teilen Geschrieben 19. Mai 2013 (bearbeitet) Gpos beinhalten keine berechtigungsinfos. Sie beinhalten konfigugurationseinstellungen die Benutzer oder Computer umsetzen. Wozu willst du für jede ou auch eine Gruppe anlegen? Ou und Gruppen haben erstmal nichts miteinander zu tun. bearbeitet 19. Mai 2013 von NorbertFe Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 19. Mai 2013 Melden Teilen Geschrieben 19. Mai 2013 (bearbeitet) Moin, OUs sind wie Ordner im Dateisystem. Jede Datei kann in genau einem Ordner liegen, jeder User (bzw. jedes andere AD-Objekt) analog in genau einer OU. Zunächst handelt es sich um eine reine Ordnungsstruktur, die man jederzeit ändern kann, wenn es besser passt. Gruppen hingegen dienen der Vergabe von Berechtigungen. Ein User kann in beliebig vielen Gruppen gleichzeitig Mitglied sein. Eine Gruppe hat eine Security-ID und kann damit Berechtigungen auf Dateien, Datenbanken, Mailboxen, Drucker usw. erhalten. (Eine OU hat keine Security-ID und kann daher keine Berechtigungen erhalten.) Meist ist es effizienter, Berechtigungen an Gruppen zu verteilen als an einzelne User. Sollen etwa zehn Schüler einer Klasse eine Datei nutzen können, dann kann man eine Gruppe definieren und die zehn Schüler dort aufnehmen. Nur die Gruppe erhält Zugriffsrechte auf die Datei - durch ihre Mitgliedschaft erhalten die zehn Schüler die Rechte "durchgereicht". Soll später noch ein weiterer Schüler die Rechte haben, nimmt man ihn einfach in die Gruppe aus. Sollen zwei Schüler das Recht nicht mehr haben, entfernt man sie aus der Gruppe. Gruß, Nils bearbeitet 19. Mai 2013 von NilsK Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Mai 2013 Melden Teilen Geschrieben 19. Mai 2013 (bearbeitet) Hallo, Berechtigungen auf NTFS-Objekte werden mit Sicherheitsgruppen erteilt, im Ausnahmefall, im Spizialfall mit einem einzelnen Benutzerkonto. Mit OU`s kann man tatsächlich die Struktur der Firma, der Schule abbilden, in etwa, natürlich muss das auch Sinn machen. Ich habe erstmal im AD UO`s für die verschiednen Bereiche der Schule: den Dozentenpool, den Bildungsbereich, den Jugendbereich, den Fachschulbereich, den Hochschulbereich. Darunter gegliedert sind jeweils die OU`s für die Seminare mit Sicherheitsgruppen und Benutzerkonten drin; Sinn der Sache ist, die Sicherheitsgruppen und Benutzerkonten leicht wieder zu finden, es hilft mir so beit der Administration, am Ende zum Löschen. Ich benutze diese OU`s nicht, um Berechtigungen zu erteilen, auch lasse ich dort keine GPO`s wirken. Dann gibt es die OU Buildings&Rooms, darin wieder UO`s mit den Seminarräumen und Pools, darin die Konten der dort stationierten Rechner. Auf Buildings&rooms wirken Grppenrichtlinien für alle Computer, auf die Räume wird es spezieller, je nach Notwendigkeit, nach Hardware oder nach administrativer Operation bei Wartung zum Beispiel. Die selbe Struktur wie für die OU`s der Schulbereichs- und der Seminare ist auf dem Fileserver als Verzeihnisstruktur abgebildet. Dort Ordner eines Seminares enthält Unterordner für die Benutzer, jeweils einen Profil- und einen Homeordner. Weiter gibt es einen Aufgabenordner und einen Austauschordner. Auf Profil- und Homeordner hat i.d.R. nur der Studierende als Besitzer Zugriff, im Ausnahmefall mit Einverständnis ein spezieller Dozent. Auf den Aufgabenordner hat die Sicheitsgruppe Seminar lesenden Zugriff auf den Austauschordner lesen und schreiben. Auf das übergeordnete Seminarverzeichnis hat die Sichheitsgruppe Zugriff, ebenso die Dozenten. Die Seminare mit Benutzerkonten, Sicherheitsgruppen, OU`s und Ordner lege ich per Batch an parametriert mit einer Textdatei, in dieser stehen Nachnamen, Vornamen und Geburtsdaten, davon werden auch die Kennwörter für die Erstanmeldung abgeleitet. Die Textdatei wird von der Verwaltung mit Daten aus unserem Wirtschaftsinformationssystem erzeugt und mir zugesandt. Ich denke, das wäre es im Wesentlichen. bearbeitet 19. Mai 2013 von lefg Zitieren Link zu diesem Kommentar
Karli1969 0 Geschrieben 19. Mai 2013 Autor Melden Teilen Geschrieben 19. Mai 2013 Ich glaube, so langsam rutscht der Groschen. Muss mir das noch paar mal durchlesen und in Zusammenhang mit dem anderen gelesenen bringen. Danke auf jeden Fall für eure klasse Antworten! :jau: Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Mai 2013 Melden Teilen Geschrieben 20. Mai 2013 Gerne geschehen, viel Erfolg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.