Rumak18 11 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 Hallo, wir haben hier eine AD 2008 R2 mit einfacher OU Struktur: - Domain - OU1 - Verknüpfte GPO1 - Verknüpfte GPO2 - Verknüpfte GPO3 - OU2 - Verknüpfte GPO4 - Verknüpfte GPO5 - Verknüpfte GPO6 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen?? Zitieren
4077 30 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 Sind das überhaupt Benutzer-GPO? Und ist der Benutzer überhaupt in OU1? Zitieren
Sunny61 816 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen?? Du kannst auch die Authentifizierten Benutzer überall eintragen. Ansonsten mußt Du mit Sicherheitsgruppen arbeiten. Und ja, natürlich mußt Du Benutzerobjekte explizit zu jedem GPO hinzufügen. GPOs sind eigene Objekte und haben mit den OUs nichts zu tun. Wäre ja auch fatal wenn das so einfach funktionieren würde, wie Du das gerne hättest. Zitieren
Rumak18 11 Geschrieben 28. Januar 2014 Autor Melden Geschrieben 28. Januar 2014 Ach ok...danke! Eine kleine Nachfrage noch dazu: Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist? Zitieren
4077 30 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 OU1_Admin wäre bereits in der Gruppe enthalten. Du könntest auch eine Starter-Gruppenrichtlinie anlegen. Einbinden müßtest Du sie bei einer neuen GPO trotzdem. Zitieren
Rumak18 11 Geschrieben 28. Januar 2014 Autor Melden Geschrieben 28. Januar 2014 Hallo @4077: Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte. Zitieren
Rumak18 11 Geschrieben 30. Januar 2014 Autor Melden Geschrieben 30. Januar 2014 Keiner eine Idee? Zitieren
Sunny61 816 Geschrieben 30. Januar 2014 Melden Geschrieben 30. Januar 2014 Nur mal so eine Idee: http://www.ldap389.info/en/2011/01/06/powershell-sddl-edit-gpo-security-settings/ Zitieren
lefg 276 Geschrieben 30. Januar 2014 Melden Geschrieben 30. Januar 2014 Hallo, ich las eine ganze Weile die Überschrift des Thead, dann kam ich auf den Stein des Anstosses "GPOs in OUs". Liegt hier ein Irrtum vor, so dachte ich mir. Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU. Zitieren
Rumak18 11 Geschrieben 31. Januar 2014 Autor Melden Geschrieben 31. Januar 2014 Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html Zitieren
Sunny61 816 Geschrieben 31. Januar 2014 Melden Geschrieben 31. Januar 2014 Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html Danke für die Rückmeldung! Das muß man nur gut im Hinterkopf behalten, ansonsten wundert man sich zu gewisser Zeit über Gruppen/User die in den GPOs plötzlich immer enthalten sind. ;) Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU. Ein GPO ist aber auch ein Objekt im AD und kann natürlich wie ein solches bearbeitet werden. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.