kaineanung 14 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 Hallo Leute, da wir bisher mit der AD relativ wenig zu tun hatten und mit GPOs fast gar nichts (ausser die Kennwortrichtlinie in W2K3 in der Default Domain Policy), stehe ich vor der Frage ob man OUs benötigt, wie die am besten aufgebaut sind und vor allem ob ich diese in der AD oder in dem Gruppenrichtlininen.Editor (da kann man ja auch OUs erstellen)? Ich habe die auf gruppenrichtlininen.de die Anleitung 'Erstellen einer Gruppenrichtlinie' gerade angefangen zu lesen und dort steht man soll als allererstes OUs erstellen (Meine Benutzer und Meine Computer). So wie ich das lese, wird dort von der AD geredet, als Bildbeispiel ist aber der Gruppenrichtlinien-Editor zu sehen. Das ist aber nicht das Selbe, oder? Und wenn es das nicht ist: was ist der Unterschied und wo soll man es anlegen? Die andere Frage ist: wie soll ich die Struktur am besten anlegen? Firmenhierarchie (Abteilungen -> Teams -> Gruppen -> Untergruppen), erscheint mir zu komplex und viel zu viele Ebenen. Ändert sich eine Gruppe (und das passiert relativ häufig) muss man wieder umkrempeln. Reicht es da grob einzuteilen Benutzer, Server, Desktops, Aussendienst u.ä.? Ich habe jetzt GPOs erstellt die alle betreffen und jeweils für unsere Abteilungen. Diese werden per Sicherheitsfilter selektiert, also über die Gruppenzuordnung angewandt. In der gpresult sehe ich alledrings dann in einem Abschnitt viele GPOs die nicht angewandt werden. Mich stört das jetzt nicht, aber ich denke das machen die Administratoren in der weiten Welt wahrscheinlich nicht so, oder? Ich würde mich freuen wenn jemand mal sein Aufbau der OUs erklären / zeigen könnte damit ich eine Orientierung habe wie das gemacht werden sollte. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 vor 12 Minuten schrieb kaineanung: da kann man ja auch OUs erstelle Mit welchem Werkzeug du die erstellst ist doch egal. Kannst auch Powershell oder dsadd nehmen. Und ja in meinen Augen sollte man OUs verwenden. Eine Abbildung der Firmenhierarchie ist selten sinnvoll. Bye Norbert Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 9. Oktober 2019 Autor Melden Teilen Geschrieben 9. Oktober 2019 vor 7 Minuten schrieb NorbertFe: Mit welchem Werkzeug du die erstellst ist doch egal. Ich hätte es einfach einmal ausprobieren sollen und dieser Teil meiner Frage wäre beantwortet gewesen. Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt. Somit hast du selbstverständlich Recht. vor 9 Minuten schrieb NorbertFe: Eine Abbildung der Firmenhierarchie ist selten sinnvoll. Ja, das habe ich auch vermutet. Nur was soll es dann abbilden? Reicht dann eine 'Benutzer'- und 'Server'- und 'Desktop'-OU? Vielleicht noch eine Aussendienst-OU bzw. Notebook-OU? Wäre das eine OU-Aufteilung die man im Schnitt und so in etwa in der weiten Welt der Domänen vorfindet? Ich habe das ja schon richtig verstanden das die übergeordneten OUs ihre verknüpften GPOs nach unten vererben, richtig? (Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde)? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 (bearbeitet) vor 5 Minuten schrieb kaineanung: Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt Der Unterschied liegt im Detail. OUs per GPMC werden nicht vor dem versehentlichen Löschen geschützt, was bei dsa.msc aber passiert. vor 5 Minuten schrieb kaineanung: Ja, das habe ich auch vermutet. Nur was soll es dann abbilden? Das was du sinnvoll damit administrieren willst. vor 5 Minuten schrieb kaineanung: Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde Ja würde man aber meist bleiben lassen, denn im Endeffekt spricht das Deaktivieren dann für schlechtes Design, IMHO. ;) bearbeitet 9. Oktober 2019 von NorbertFe Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 Ich könnte ein Buch dazu empfehlen, da hab ich das glaub mehr als einmal reingeschrieben: OUs bilden nicht die Organisation des Unternehmens ab - sie dienen dazu, das AD zu organisieren. Es sind keine "Organisationseinheiten", sondern "Organisierungseinheiten" (ja, ich weiß wie b***d dieses Wort klingt ). OUs haben genau 2 Zwecke: Verlinkung von GPOs und Delegation von Berechtigungen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 (bearbeitet) Moin Nichts falls es nicht benötigt, aber etwas Sinn sollte es schon machen. Nun, Opa erzählt mal vom Krieg. Eigentlich braucht ich es nicht wirklich, aber es gab das Bedürfnis Ordnung im Haus, unser AD zu bringen, etwas mehr Übersicht für meinen Kollegen und Vorgesetzten. Es gab bei uns zwei Teileinheiten im Sinne von Fialie und Gebäudekomplexe, Ich schuf also für jede Teileinheit eine Computer-OU und eine User-OU, schob jeweils die Computer und User hinein. Das war es erstmal. Später kam dann tatsächlich einiges sinnvolles, möchte das heute Abend aber nicht mehr erläutern. bearbeitet 9. Oktober 2019 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 Du zitierst falsch. Das ist nicht von mir. Zitieren Link zu diesem Kommentar
joehuabe 0 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 Hallo, das können wir dir wahrscheinlich nicht beantworten. Das müsst ihr euch selbst überlegen, da jedes Unternehmen anders aufgebaut ist. Aber in der Regel werden OU´s nach Abteilungen und Bereichen gegliedert, ähnlich wie euer Organigram. Gruß joehuabe Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 Am 9.10.2019 um 16:17 schrieb NorbertFe: Eine Abbildung der Firmenhierarchie ist selten sinnvoll. vor 1 Minute schrieb joehuabe: Aber in der Regel werden OU´s nach Abteilungen und Bereichen gegliedert, ähnlich wie euer Organigram. Na dann kann er sich ja was aussuchen. Zitieren Link zu diesem Kommentar
joehuabe 0 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 Wie gesagt, meiner Meinung nach kommt es immer Auf das Unternehmen an. Manchmal ist es sinnvoll, manchmal vielleicht nicht. Bei uns sind die Abteilung-OUs mit den Benutzern getrennt von den Computer-OUs. Auf die Frage zurück zu kommen: Bei Gruppenrichtlinien gibt es immer Benutzer- und Computer-Richtlinien. Eine Computer-Richtlinie wird also nie auf eine Abteilungs-OU angewendet. Ich erstelle also eine OU (die es meist schon gibt) in der alle Computer-Objekte beinhaltet sind. Hier kann ich dann eine neue Computer-Cruppenrichtlinie erstellen und dieser OU zuweisen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 vor 7 Minuten schrieb joehuabe: Aber in der Regel werden OU´s nach Abteilungen und Bereichen gegliedert, ähnlich wie euer Organigram. Und wofür soll das gut sein? Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 (bearbeitet) Das Organigram abzubilden ist meistens kontraproduktiv. Ein Organigram definiert Unterstellungsverhältnisse. Die OUs bilden eine technische Sicht auf das Unternehmen ab. Die Namen der OUs können durchaus mit den Abteilungen korrespondieren, aber die Verschachtelung wird eine andere sein. bearbeitet 22. Oktober 2019 von tesso Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 vor 3 Minuten schrieb joehuabe: Abteilung-OUs mit den Benutzern getrennt von den Computer-OUs. Ihr habt Computer im Organigramm? ;) Zitieren Link zu diesem Kommentar
joehuabe 0 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 vor 1 Minute schrieb lefg: Und wofür soll das gut sein? Naja, per Gruppenrichtlinie kann man alles machen. Bildschirmschoner verteilen, Registry Werte setzen, etc. In meinem Fall habe ich mehrere Gesellschaften, welche unterschiedliche Bildschirmschoner benötigen. Da ich die Gesellschaften in verschiedene OU´s habe, ist es für mich ein Kinderspiel die korrekten Settings zu verteilen. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 vor 41 Minuten schrieb joehuabe: Da ich die Gesellschaften in verschiedene OU´s habe, Ich glaube wir meinen alle das Gleiche. Es bleibt halt dabei, dass "kein" Organigramm die Vorlage sein sollte, sondern die Anforderungen definieren die OU Struktur. Dabei kann durchaus auch ein Organigramm-ähnliches Konstrukt rauskommen, meist ist das aber weder notwendig noch wirklich hilfreich. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.