P@trick 10 Geschrieben 31. Oktober 2016 Melden Teilen Geschrieben 31. Oktober 2016 Guten Abend zusammen, ich sitze grade im Homeoffice und führe Serverwartung durch. Dabei ist mir eine Frage aufgekommen die ich gerne an euch stellen möchte. Aktuell habe ich in der Firma für jede Abteilung eine OU erstellt und an dieser OU die unterschiedlichsten GPO gehängt. Ich habe für jede Funktion (Zuweisen von Netzlaufwerke, Zuweisen von Druckern usw.) eine eigene GPO gemacht. So ist es keine Seltenheit das pro OU 10 bis 15 GPO angefügt sind. Meine Frage ist, ob es nicht sinnvoller ist nur eine GPO pro OU zu machen wo dann alle Einstellungen der anderen GPOs enthalten ist? So müsste der PC ja nur eine GPO abarbeiten oder ist das nicht sinnvoll?Danke für eure Erfahrungen! Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 31. Oktober 2016 Melden Teilen Geschrieben 31. Oktober 2016 Ich kann mir gar nicht vorstellen, dass jede Abteilung andere Anforderungen hat. Eventuell wärs ja sinnvoller, sich von diesem Konstrukt zu verabschieden? Machts ja auch einfacher in der Administration, wenn man gleiche Richtlinien einfach eine Ebene über allen Abteilungen definiert, oder? Ansonsten ist nicht die Anzahl der GPOs unbedingt der entscheidende Performancefaktor, sondern die Anzahl der beteiligten CSEs. https://helgeklein.com/blog/2015/11/how-group-policy-impacts-logon-performance-1-cses/ Zitieren Link zu diesem Kommentar
P@trick 10 Geschrieben 1. November 2016 Autor Melden Teilen Geschrieben 1. November 2016 Hallo Norbert, vielen Dank für deine Antwort. Das jede Abteilung eine OU hat, ist daraus entstanden, dass wir die Abteilungsdrucker per GPO verteilen und so für jede Abteilung eine "Drucker-GPO" erstellt haben und um diese dann auch den richtigen Leuten zuzuweisen sind die Abteilung OU entstanden. Ich glaube das ich mir mal mit Zeit und Ruhe an einer neuen OU Strukturplanung begeben muss. Gibt es irgendwo vielleicht Beispiel GPO für Unternehmen? Mir ist bewusst das jede Firma anders ist, aber vielleicht kann ich mir da auch Anregungen holen die mir beim Ausarbeiten eines Konzepts helfen könnten. Danke und Gruß Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 1. November 2016 Melden Teilen Geschrieben 1. November 2016 auch das geht einfacher, wenn mans per Gruppen regelt. Aber da hat jeder so seine Vorliebe ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. November 2016 Melden Teilen Geschrieben 1. November 2016 (bearbeitet) Bei uns wurde das Zuweisen von Druckern und Netzlaufwerken per GPO inzwischen abgeschafft, die Drucker sind im AD veröffentlicht und die Benutzer wählen sich selbst das Benötige aus. Ebenso stellen die Benutzer selbst die Netzlaufwerkverbindung her. Die Benutzer sind hochbezahlt und hochqualifiziert. :D bearbeitet 1. November 2016 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 1. November 2016 Melden Teilen Geschrieben 1. November 2016 Wie Norbert schon andeutete, schau dir Sicherheitsgruppen an. Die kannst Du bei der Zuweisung von Netzlaufwerken und bei der Zuweisung von Druckern sehr gut gebrauchen. Natürlich können Sicherheitsgruppen auch in der Sicherheitsfilterung von GPOs genutzt werden. Vergiss aber nicht, trotzdem die Authentifizierten Benutzer über den Reiter Delegierung mit Leserechten auszustatten. http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ http://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/ http://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtlinien-auf-eine-gruppe-von-computern-filtern/ Einfach mal die Artikel lesen und mit Hilfe von ein paar virtuellen Testclients und Testbenutzern ein paar reale Testszenarien nachbauen. So kriegt man am besten ein 'Gefühl' dafür, was wann warum wieso weshalb passiert. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 1. November 2016 Melden Teilen Geschrieben 1. November 2016 ...oder ein Buch kaufen? :-) Spaß beiseite: Du hast oben schon beschrieben, daß derzeit die OUs mehr oder weniger das Unternehmen nachbauen. Dafür sind sie gerade _nicht_ gedacht, sondern sie sollen Dir helfen, das AD zu organisieren. Bei den Druckern bin ich grundsätzlich bei lefg - selber machen lassen, dann hat jeder, was er braucht/will. Alternativ würde ich empfehlen: ALLE Druckerzuordnungen in eine einzige GPO stecken und dann nur noch mit Zielgruppenadressierung arbeiten. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 1. November 2016 Melden Teilen Geschrieben 1. November 2016 die Benutzer wählen sich selbst das Benötige aus. Ebenso stellen die Benutzer selbst die Netzlaufwerkverbindung her. Die Benutzer sind hochbezahlt und hochqualifiziert. :DDeine User und deine Geschäftsführung hätte ich gerne.Unseren "hochbezahlten" ist es ja schon nicht zuzumuten zentrale Drucker zu verwenden... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. November 2016 Melden Teilen Geschrieben 1. November 2016 (bearbeitet) Deine User und deine Geschäftsführung hätte ich gerne. Unseren "hochbezahlten" ist es ja schon nicht zuzumuten zentrale Drucker zu verwenden... Ja, da steht auch ein für den Bereich zuständiger GF dahinter. Problemlos ist es auf unterer Ebene allerdings auch nicht. :) Gestern habe ich einen stellvertrenden Leiter geholfen, nachher kommt ein weiterer mit seinem Book. Meine Frage ist, ob es nicht sinnvoller ist nur eine GPO pro OU zu machen wo dann alle Einstellungen der anderen GPOs enthalten ist? So müsste der PC ja nur eine GPO abarbeiten oder ist das nicht sinnvoll? Ich glaube, jetzt hab ich die Fragestellung begriffen. Die Frage, wie behalten wir die Übersicht? Durch die Bezeichnungen nämlich: Die OU ist der Hörsaal HS203, darin die Rechner. Es gibt dafür einen Kopierer/Drucker, das GPO dafür RicohAficioC3502. Unseren Kunden bieten wir natürlich Service. bearbeitet 1. November 2016 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.