Rumak18 11 Geschrieben 28. Januar 2014 Melden Teilen Geschrieben 28. Januar 2014 Hallo, wir haben hier eine AD 2008 R2 mit einfacher OU Struktur: - Domain - OU1 - Verknüpfte GPO1 - Verknüpfte GPO2 - Verknüpfte GPO3 - OU2 - Verknüpfte GPO4 - Verknüpfte GPO5 - Verknüpfte GPO6 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen?? Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 28. Januar 2014 Melden Teilen Geschrieben 28. Januar 2014 Sind das überhaupt Benutzer-GPO? Und ist der Benutzer überhaupt in OU1? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. Januar 2014 Melden Teilen Geschrieben 28. Januar 2014 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen?? Du kannst auch die Authentifizierten Benutzer überall eintragen. Ansonsten mußt Du mit Sicherheitsgruppen arbeiten. Und ja, natürlich mußt Du Benutzerobjekte explizit zu jedem GPO hinzufügen. GPOs sind eigene Objekte und haben mit den OUs nichts zu tun. Wäre ja auch fatal wenn das so einfach funktionieren würde, wie Du das gerne hättest. Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 28. Januar 2014 Autor Melden Teilen Geschrieben 28. Januar 2014 Ach ok...danke! Eine kleine Nachfrage noch dazu: Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist? Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 28. Januar 2014 Melden Teilen Geschrieben 28. Januar 2014 OU1_Admin wäre bereits in der Gruppe enthalten. Du könntest auch eine Starter-Gruppenrichtlinie anlegen. Einbinden müßtest Du sie bei einer neuen GPO trotzdem. Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 28. Januar 2014 Autor Melden Teilen Geschrieben 28. Januar 2014 Hallo @4077: Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte. Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 30. Januar 2014 Autor Melden Teilen Geschrieben 30. Januar 2014 Keiner eine Idee? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 30. Januar 2014 Melden Teilen Geschrieben 30. Januar 2014 Nur mal so eine Idee: http://www.ldap389.info/en/2011/01/06/powershell-sddl-edit-gpo-security-settings/ Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Januar 2014 Melden Teilen Geschrieben 30. Januar 2014 Hallo, ich las eine ganze Weile die Überschrift des Thead, dann kam ich auf den Stein des Anstosses "GPOs in OUs". Liegt hier ein Irrtum vor, so dachte ich mir. Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU. Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 31. Januar 2014 Autor Melden Teilen Geschrieben 31. Januar 2014 Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 31. Januar 2014 Melden Teilen Geschrieben 31. Januar 2014 Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html Danke für die Rückmeldung! Das muß man nur gut im Hinterkopf behalten, ansonsten wundert man sich zu gewisser Zeit über Gruppen/User die in den GPOs plötzlich immer enthalten sind. ;) Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU. Ein GPO ist aber auch ein Objekt im AD und kann natürlich wie ein solches bearbeitet werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.