Jump to content

GPOs 'greifen' erst nach 2x neustarten?

kaineanung

Von kaineanung
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 17 Stunden schrieb magheinz:

Ich bin da ganz bei kaineahnung.

Um eine Struktur so umzusetzen bräuchte man erst mal ein vernünftiges Berechtigungskonzept.
In vielen Firmen ist aber die Dateiablage ein gewachsenen System was man nicht so einfach ändern kann.

Na Gott sei dank versteht mich endlich einer hier.

Theorie der optimalen Umsetzung hört sich immer gut und toll an, aber in der Praxis läuft es meist immer anders. Ich habe nicht viel zu sagen und der Chef und Vorgesetzter will Altbewährtes nicht ändern. Das ist Fakt. Ich will das Netzwerk und die Domäne aber trotzdem, eben so weit es geht oder erlaubt ist, modernisieren. Wir arbeiten immer noch mit einer mindestens 3 Minuten ablaufenden Logon-Batch als schlimmstes Beispiel! Die will ich weg bekommen. Ich werde aber keine Ordnerstrukturen ändern und kann das bei der nächsten Sitzung nur vorschlagen (ist aber sinnlos da ich meine Pappenheimer kenne).

Wir nutzen EINE Sache in der GPO: Passwortpolicy in der Domäne. Sonst gar nicht. Das will ich ändern und das bekomme ich auch genehmigt.

 

Daher bitte ich einfach hier um Infos, an meine Fakten angepasst, was ich tun könnte um mir das Leben zu erleichtern.

 

Also zurück zum Thema:

1.) wenn ich die OU-Struktur so beibehalte wie ich sie nun angedacht habe, könnte ich ja mit der Delegierung arbeiten und die Berechtigungen immer so setzen das eben nur die Sicherheitsgruppe, in welcher sich der User anmeldet, ausgeführt wird und alle anderen Abgelehnt werden, oder? Somit würde für den User in der Verkaufsgruppe dessen GPO ausgeführt, seines Gruppenleiters, Teamleiters und Koordinators nicht)

2.) könnte ich das Gleichem achen aber ohne OU-Struktur und alle in einer Ebene -> Flach. Da hätte ich aber sicherlich den Nachteil das 2 GPOs ausgeführt werden würden und 28 GPOs abgelehnt werden (ich weiß nicht ob das Zeit kostet oder andere Nachteile mit sich bringt?)

3.) Könnte ich die OU-Struktur falsch herum aufstellen wie bereits gestern einmal angedacht: Chef und Admins nicht am linken Rand sondern am rechten Rand ausrichten und die Hierarchie nach links 'runter'-laufen lassen? Damit würden nur die GPOs links von der entsprechenden OU ausgeführt (wenn ich mich nicht irre von links nach rechts) bis zu der eigenen OU und, wenn ich das richtig verstanden habe, gilt das Prinzip der Letzte zählt ->richtige GPO wird ausgeführt.

 

Sind diese Vorgehensweisen praktikabel? Habe ich was übersehen? Gibt es bessere Lösungen ohne die Ordnerstruktur ändern zu müssen?

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 6 Minuten schrieb magheinz:

Die Berechtigungen im Dateisystem haben ja mit den OUs im AD nichts zu tun.

Die Berechtigungen sind nur eine Frage der Gruppenzugehörigkeit. 

Aber ich kann die Berechtigung doch dafür verwenden um die Vererbten GPOs NICHT ausführen zu lassen, oder?

Das war die Intention: Teamleiter Verkauf (TLG_V) GPO wird beim Teamleiter Verkauf ausgeführt. Eine OU weiter drunter ist die Verkaufsgruppe die ihre eigene GPO hat (G_V). Da soll die Verkauf-GPO ausgeführt werden.

Momentan ist es so daß dank der OU-Struktur (Hierarchisch) in der G_V-GPO auch die TLG_V-GPO ausgeführt wird. Das kann ich unter Delegierung doch bestimmt unterbinden indem ich dort angebe daß nur die entsprechende Gruppe lesend zugreifen kann? Somit könnte ich die GPOs über Berechtigungen steuern?

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

Ok, und wie würde dann eine OU-Struktur aussehen eurer Meinung nach?

 

Beispiel:

 

Vertriebsleiter -> Koordinator 1 -> Gruppenleiter 1 -> Gruppe 1

Vertriebsleiter -> Koordinator 1 -> Gruppenleiter 2 -> Gruppe 2

Vertriebsleiter -> Koordinator 2 -> Gruppenleiter 1 -> Gruppe 1

Produktion -> Koordinator 1 -> Gruppenleiter 1 -> Gruppe 1

Produktion -> Koordinator 2 -> Gruppenleiter 1 -> Gruppe 1

Produktion -> Koordinator 2 -> Gruppenleiter 2 -> Gruppe 2

Produktion -> Koordinator 2 -> Gruppenleiter 3 -> Gruppe 3

usw..

 

 

So, jetzt habe ich die AD-Struktur natürlich ebenso:

Vertriebsleiter ist der Oberboss im Vertrieb und darf in alle untergeordneten Order lesen, ändern und schreiben.

Also Koordinator 1 und Koordinator 2 im Vertrieb und deren allen Unterordnern.

Diese wiederrum dürfen das ebenso machen in deren Unterordnern, abern icht beim Vertriebsleiter (Hierarchie eines darüber).

usw.

 

Dies ebenso in der Produktion und im Einkauf und in der Auftragsabwicklung usw..

 

So, das wurde so auch abgebildet in der Verzeichnisstruktur. Wie soll es denn auch anders gehen?

 

Jeder User bekommt beim einloggen mehrere Laufwerke zugeordnet. Sein Teamlaufwerk ist z.B. das Laufwerk H:.

Jeder User bekommt sein H: gemappt auf seine Freigabe auf dem Fileserver. Dies macht ein Tool welches in der Logon-Batch aufgerufen wird. Dieses Tool schaut sich die Berechtigung an und sucht entsprechend in seiner INI-Datei den Pfad für das H:Laufwerk dieser Gruppe und mappt es dann.

 

So, das will ich jetzt in GPO umwandeln, habe aber keine Lust in einer GPO hunderte Möglichkeiten über die 'Zielgruppenadressierung' abzubilden. Da geht die Übersicht nach bereits der 5 Gruppe sicher flöten.

Daher will ich für jede Gruppe eine GPO und in dieser wird nicht nur die entsprechenden Laufwerke gemappt sondern auch andere Dinge ausgeführt wir diverse Vorlagen heruntergedrückt, Desktopverknüpfungen gesetzt usw.. (das ist jedenfalls mein Ziel).

 

So, wenn ich jetzt eine GPO für jede Gruppe erstelle, dann habe ich beispielsweise folgende GPOs:

Vertriebsleiter-GPO (VL_GPO), Vertriebs-Koordinator-GPO 1 (VK_1_GPO), Vetriebs-Koordinatorengruppe_1_Gruppenleiter 1 (VK1GL_1), Vertriebsgruppe 1 (VK1G_1)

Und folgende Hierarchie:

VL_GPO->VK_1_GPO->VK1GL_1->VK1G_1

VL_GPO->VK_1_GPO->VK1GL_2->VK1G_2

VL_GPO->VK_2_GPO->VK2GL_1->VK2G_1

usw.

oder in der Produktion

PL_GPO->PK_1_GPO->PK1GL_1->PK1G_1

PL_GPO->PK_2_GPO->PK2GL_1->PK2G_1

PL_GPO->PK_2_GPO->PK2GL_2->PK2G_2

usw.

 

Ich möchte, wenn sich der User aus der Gruppe VK2GL_1 anmeldet (Gruppenleiter im Vertrieb unterhalb des 2. Koordinators), daß nur seine GPO ausgeführt wird und das sein H:-Laufwerk in die entsprechende Ordnerstruktur auf dem Fileserver mappt.

 

Ich hoffe es ist klar was ich will und wie es aussehen soll.

 

Die Frage ist nur: wie kann ich beim anmelden des Users es so gestalten das nur seine GPO ausgeführt wird und nicht auch die der Vorgesetzten? Weil das ist momentan der Fall und das geht nicht?

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben (bearbeitet)

Alles ganz einfach halten. 1 OU für User und 1 OU für Computer erstellen. Für deine Gruppenszenarien gehst Du nach diesem Prinzip vor: https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

GPOs kann man filtern, wie das geht steht in diesem Artikel: https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

Dieser Artikel hilft beim weiteren Verständnis: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Am besten komplett abarbeiten und zwar solange, bis es auch wirklich komplett klar ist was gemeint ist.

 

Starthilfe: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

https://www.gruppenrichtlinien.de/artikel/was-sind-gruppenrichtlinien/

 

Und falls das alles nichts hilft wäre ein externer Berater vor Ort sicherlich die bessere Variante.

bearbeitet von Sunny61
  • Like 1
Link zu diesem Kommentar
v-rtc Veteran

v-rtc   88

Geschrieben
Geschrieben (bearbeitet)

Sorry, aber ich versteh es nicht :(

Bitte trenne mal OU Struktur und Fileserver Struktur.

 

Ansonsten hilft einer Vor Ort sicher besser.

 

Mal wie wir es haben:

Es gibt auf dem Fileserver eine Freigabe GF, für diese gibt es eine Zugriffsgruppe (ZG_GF).

Für das Laufwerk G: gibt es eine GPO in der auf eine Gruppe (GPO_Laufwerk_GF) gefiltert wird, dort sind die User GF Mitglied und die OU ist auf die Benutzer verlinkt.

bearbeitet von RolfW
Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 48 Minuten schrieb Sunny61:

GPOs kann man filtern, wie das geht steht in diesem Artikel:

Danke, das werde ich mir durchlesen. Filterung von GPO war das Stichwort welches mir gefehlt hat!

Das wollte ich über die Berechtigung auf den einzelnen GPOs erreichen....

 

vor 49 Minuten schrieb magheinz:

Kaineanung: Ich finde da die Zielgruppenaddressierung übersichtlicher... 

Ja, unter der Voraussetzung das wir nur 1 Laufwerksmapping / Gruppe haben.

Wir haben insgesamt 3 Gruppenbezogene und 1 Allgemeine und dann noch ein paar Sonderwünsche diverser Gruppen.

Somit wäre die Liste in einer GPO mit Zielgruppenadressierung bei 40 Gruppen a 3 Mappings schon einmal bei 120, dann noch die Allgemeinen Mappings die bei jedem Gleich sind (momentan in der obersten GPO, die für alle gültig ist, implementiert): nochmals 40 und dann noch diverse Sonderwünsche in Summe vielleicht 15 = 175 verschiedene Mappings... in einer GPO mit der Zielgruppenadressierung nicht übersichtlich umsetzbar...

 

Ausserdem kann ich die GPOs dann für Gruppenindividuelle Dinge nutzen wie Vorlagen kopieren, Desktop einrichten, usw..

vor 54 Minuten schrieb RolfW:

Es gibt auf dem Fileserver eine Freigabe GF, für diese gibt es eine Zugriffsgruppe (ZG_GF).

eien Freigabe auf das Root-Directory?

 

vor 55 Minuten schrieb RolfW:

Für das Laufwerk G: gibt es eine GPO in der auf eine Gruppe (GPO_Laufwerk_GF) gefiltert wird, dort sind die User GF Mitglied und die OU ist auf die Benutzer verlinkt.

Verstehe ich nicht, aber ich sehe das der Ansatz ein anderer ist. Beim lesen ist mir aber dennoch die Idee gekommen ich könnte pro Laufwerk eine GPO erstellen und dort dann die Zielgruppenadressierung nutzen, somit würde die Übersicht dann vielleicht doch nicht so darunter leiden? Dann hätte ich lediglich ca. 40 Einträge.

Das könnte ich mir durchaus vorstellen. Werdei ch mal in meiner Testumgebung versuchen umzusetzen und schauen ob das gut für mich ist.

 

Link zu diesem Kommentar
v-rtc Veteran

v-rtc   88

Geschrieben
Geschrieben
vor 59 Minuten schrieb kaineanung:

Danke, das werde ich mir durchlesen. Filterung von GPO war das Stichwort welches mir gefehlt hat!

Das wollte ich über die Berechtigung auf den einzelnen GPOs erreichen....

 

Ja, unter der Voraussetzung das wir nur 1 Laufwerksmapping / Gruppe haben.

Wir haben insgesamt 3 Gruppenbezogene und 1 Allgemeine und dann noch ein paar Sonderwünsche diverser Gruppen.

Somit wäre die Liste in einer GPO mit Zielgruppenadressierung bei 40 Gruppen a 3 Mappings schon einmal bei 120, dann noch die Allgemeinen Mappings die bei jedem Gleich sind (momentan in der obersten GPO, die für alle gültig ist, implementiert): nochmals 40 und dann noch diverse Sonderwünsche in Summe vielleicht 15 = 175 verschiedene Mappings... in einer GPO mit der Zielgruppenadressierung nicht übersichtlich umsetzbar...

 

Ausserdem kann ich die GPOs dann für Gruppenindividuelle Dinge nutzen wie Vorlagen kopieren, Desktop einrichten, usw..

eien Freigabe auf das Root-Directory?

 

Verstehe ich nicht, aber ich sehe das der Ansatz ein anderer ist. Beim lesen ist mir aber dennoch die Idee gekommen ich könnte pro Laufwerk eine GPO erstellen und dort dann die Zielgruppenadressierung nutzen, somit würde die Übersicht dann vielleicht doch nicht so darunter leiden? Dann hätte ich lediglich ca. 40 Einträge.

Das könnte ich mir durchaus vorstellen. Werdei ch mal in meiner Testumgebung versuchen umzusetzen und schauen ob das gut für mich ist.

 

Bei uns sind die Verzeichnisse in eine DFS-N Struktur integriert, damit haben die User nur 1 Laufwerk und alle Verzeichnisse liegen da drunter. Es gibt hier auch nur noch einen Ordner der Berechtigungen besitzt, damit müssen die User dann zurecht kommen, oder einen neuen beantragen.

Und die GPO ist eben nur 1, mit einer Gruppenfilterung, in denen wir "alle" aufnehmen. Berechtigungen auf den Share wird über die Zugriffsgruppe gesteuert.

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

Ich teste gerade die GPOs / LW-Mapping. ÜBersicht ist top.

ABER: wenn man das alles 'weiterspinnt', frage ich mich wie ich gruppenbasierende Aufgaben erledigen kann wie z.B. Vorlagen verteilen, Desktops einrichten usw..?

 

Könnte man da nicht am Anfang in den saueren Apfel beissen, die Firmen-Hierarchie in den OUs Abbilden und wenn alles steht, kann man easy Dinge gezielt für diverse Gruppen erledigen?

Notfalls auch die Vererbung nutzen und dann Vorlagen für ganze Abteilungen mitsamt allen Untergruppen und dessen Untergruppen auf ein Schlag austauschen o.ä.?

So ganz verkehrt wäre das dann nicht. Dann hat man jede Gruppe oder ganze Hierachie-'Stänge' ganz einfach 'im Griff'?

Link zu diesem Kommentar
Dukel Grand Master

Dukel   451

Geschrieben
Geschrieben
6 hours ago, kaineanung said:

Ich teste gerade die GPOs / LW-Mapping. ÜBersicht ist top.

ABER: wenn man das alles 'weiterspinnt', frage ich mich wie ich gruppenbasierende Aufgaben erledigen kann wie z.B. Vorlagen verteilen, Desktops einrichten usw..?

 

Könnte man da nicht am Anfang in den saueren Apfel beissen, die Firmen-Hierarchie in den OUs Abbilden und wenn alles steht, kann man easy Dinge gezielt für diverse Gruppen erledigen?

Notfalls auch die Vererbung nutzen und dann Vorlagen für ganze Abteilungen mitsamt allen Untergruppen und dessen Untergruppen auf ein Schlag austauschen o.ä.?

So ganz verkehrt wäre das dann nicht. Dann hat man jede Gruppe oder ganze Hierachie-'Stänge' ganz einfach 'im Griff'?

Wieso sollten einzelne Gruppen unterschiedliche Vorlagen bekommen?

Das möchte man alles mit Gruppen umsetzen!

 

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
Am 16.3.2019 um 16:24 schrieb daabm:

Wenn ich ein funktionierendes Logon-Skript für das LW-Mapping habe, würde ich im Traum nicht daran denken, das auf GPP oder sonst ne Alternative umzubauen...

Echt jetzt????

Ich will einfach weg von der Logon-Datei.

Gründe:

1.)  Der Client meldet sich manchmal zu schnell an ohne die Netzwerkverbindung zum DC abzuwarten -> Es werden keine Mappings ausgeführt, auch nicht wenn die Konnektivität dann endlich vorhanden ist). Durch das GPO erhoffe ich mir das dieses Problem nicht mehr auftritt.

2.) Meine Kollegen haben die Logon-Batch soweit missbraucht das täglich viele viele Aufgaben beim Login erledigt werden und die User dann beim Anmelden mit 3 Minuten Verzögerung rechnen müssen. Daher will ich das Ding ganz abschaffen

3.) dachte ich immer das Logon-Scripte abgeschafft werden sollen und das einfach nicht mehr zeitgemäß ist?

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...