Gruppenrichtlinien - Berechtigungen für verknüpfte GPOs in OUs

[Rumak18 11]

Hallo,

wir haben hier eine AD 2008 R2 mit einfacher OU Struktur:

 

 

- Domain

              - OU1

                       - Verknüpfte GPO1

                       - Verknüpfte GPO2

                       - Verknüpfte GPO3

              - OU2

                       - Verknüpfte GPO4

                       - Verknüpfte GPO5

                       - Verknüpfte GPO6

 

Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ??

Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen??

 

[4077 30]

Sind das überhaupt Benutzer-GPO?

Und ist der Benutzer überhaupt in OU1?

[Sunny61 806]

 

Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ??

Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen??

Du kannst auch die Authentifizierten Benutzer überall eintragen. Ansonsten mußt Du mit Sicherheitsgruppen arbeiten. Und ja, natürlich mußt Du Benutzerobjekte explizit zu jedem GPO hinzufügen. GPOs sind eigene Objekte und haben mit den OUs nichts zu tun. Wäre ja auch fatal wenn das so einfach funktionieren würde, wie Du das gerne hättest.

[Rumak18 11]

Ach ok...danke!

Eine kleine Nachfrage noch dazu:

Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist?

[4077 30]

OU1_Admin wäre bereits in der Gruppe enthalten.

Du könntest auch eine Starter-Gruppenrichtlinie anlegen. Einbinden müßtest Du sie bei einer neuen GPO trotzdem.

[Rumak18 11]

Hallo @4077:

 

Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte.

[Rumak18 11]

Keiner eine Idee?

[Sunny61 806]

Nur mal so eine Idee: http://www.ldap389.info/en/2011/01/06/powershell-sddl-edit-gpo-security-settings/

[lefg 276]

Hallo,

 

ich las eine ganze Weile die Überschrift des Thead, dann kam ich auf den Stein des Anstosses "GPOs in OUs". Liegt hier ein Irrtum vor, so dachte ich mir.

 

Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU.

[Rumak18 11]

Ok...ich denke ich habe die Lösung:

 

http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html

[Sunny61 806]

Ok...ich denke ich habe die Lösung:

 

http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html

Danke für die Rückmeldung! Das muß man nur gut im Hinterkopf behalten, ansonsten wundert man sich zu gewisser Zeit über Gruppen/User die in den GPOs plötzlich immer enthalten sind. ;)

 

Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU.

Ein GPO ist aber auch ein Objekt im AD und kann natürlich wie ein solches bearbeitet werden.