schusterharry 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Hallo Leute, ich brauch mal wieder eure Hilfe. Ich hab ein Verständnisproblem was die Userverwaltung in AD angeht. Bin zur Zeit grad dabei mir ein gutes Übungsnetzwerk aufzubauen und hab jetzt mal nen DC mit nem DNS Server gemacht. So, nun soll mein Übungsnetz so aussehen: Es soll eine Gruppe Manager geben mit 3 Mitgliedern Es soll eine Gruppe Produktion geben mit 5 Mitgliedern Es soll eine Gruppe Freie Mitarbeiter geben mit 5 Mitglidern Dann solls noch eine Gruppe Verwaltung geben mit 5 Mitgliedern Dann wirds noch für jede Gruppe eigen Ordner geben uns-aber da liegt nicht das Hauptproblem sonders das Hauptproblem lautet: Wie gruppiere ich nun die User dieser Gruppen? Grundsätzlich sollte man ja Gruppen in Globalen Gruppen zusammenfassen und über Lokale Gruppen Berechtigungen vergeben wenn ich das soweit richtig verstanden habe. Was mich aber noch beschäftigt: Ich kann ja nur auf Domänen Standorte und OUs Gruppenrichtlinien anwenden-nicht jedoch auf Gruppen. Also wie soll diese Gruppierung dann weitergehen wenns darum geht Gruppenrichtlinien anzuwenden? ODer sollte man gleich alles in OUs gruppieren? Hmmm... najo also Fragen über Fragen............. Kann mir jemand einen Vorschlag machen wie er meine obige Aufgabenstellung lösen würde? Ich muss endlich hinter das Geheimnis von AD kommen *g* danke schon mal Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Mach doch für jede deiner gruppen eine OU. Das ist am einfachsten in deinem Fall. Gruppen kannst du dann auch noch machen. FG fLOST Zitieren Link zu diesem Kommentar
schusterharry 10 Geschrieben 19. Mai 2005 Autor Melden Teilen Geschrieben 19. Mai 2005 ich soll einfach für jede Einheit eine OU machen und dort dann direkt die User hinzufügen? Oder für jede Einheit eine OU und in jeder OU eine Gruppe mit den entsprechenden Mitgliedern? Ich würd mal gern sehen wie das in Firmen so ausschaut in der AD Benutzerverawltung-irgendwie komm ich da mit meinem Verständnis auf keinen grünen Zweig Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 ... eine zentrale, gut überlegt OU Struktur ist wohl das A und O. Wenn Du einzelne Gruppen/User in eine OU sortiert hast, welcher nun wieder selbst ein Richtlinie verknüpft ist, übernehmen diese ja normalerweise die Eigenschaften der Richtlinie. Jetzt kann man aber seperat noch das Lesen/Ausführen der Gruppenrichtlinien erlauben/verbieten und so die Richtlinien noch feiner pro Gruppe oder User steuern. [... mal so ins Grobe gesprochen] Gruss Robert PS: sorry, kannte Beiträge 2 und 3 nicht bevor ich auf "Antworten" geklickt habe ... Zitieren Link zu diesem Kommentar
schusterharry 10 Geschrieben 19. Mai 2005 Autor Melden Teilen Geschrieben 19. Mai 2005 ganz konkret sagen wie du meine obige Aufgabenstellung lösen würdest? Unter Umständen auch mit einer kleinern Erklärung warum und wieso? :) Zitieren Link zu diesem Kommentar
schusterharry 10 Geschrieben 19. Mai 2005 Autor Melden Teilen Geschrieben 19. Mai 2005 OU für: Verwaltung Manager Freie Mitarbeiter Produktion in jeder OU eine GLOBALE Gruppe mit dem selben Namen der OU und dort alle entsprechenden Mitglieder aufnehmen Was mir nun noch nicht ganz klar ist: Globale Gruppen sollte man ja verwenden um User zu gruppieren welche die selben Aufgaben ahben und lokale Gruppen sollte man verwenden um den Resourcenzugriff zu steuern ABER ich bräcute ja nun in der OU keine GLOBALE Gruppe mehr machen da ich die User ja schon mit Hilfe der OU organisiert hab. Demnach könnte ich ja sofort in jeder OU eine LOKALE Gruppe machen und dort die jeweiligen User aufnehmen oder? Weiters frag ich mich folgendes: Ich kann ja die User im Ordner USERS zu Gruppen und OUs hinzufügen-danach sind sie aber auch immer noch im Ordner USERS vertreten. Aber in diesem Ordner hat man auch die Möglichkeit die User zu VERSCHIEBEN und stell ich mir die Frage: Verschieb ich sie nun aus dem Ordner USERS raus oder sollen sie da nach wie vor drinnen erhalten bleiben bzw wozu hat man überhaupt die Möglichkeit zu verschieben? Zitieren Link zu diesem Kommentar
salomon 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Hi, http://www.mcseboard.de/showthread.php?t=56601&highlight=Community+Casts das solltest Du Dir mal anschauen und sonst http://www.gruppenrichtlinien.de/index.html Gruß salomon Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 @schusterharry Ich denke, Du solltest Dich unbedingt in Active Directory einlesen, da Dir offensichtlich die Grundkonzepte unklar sind. Zum Beispiel: - OUs sind keine Sicherheitsgruppen. OUs werden für die Delegation administrativer Verwaltungsaufgaben sowie für die Anwendung von Gruppenrichtlinien erstellt. - Sicherheitsgruppen dagegen werden für die Zuweisung von Rechten und Berechtigungen verwendet. Eine OU ersetzt Dir also nicht eine globale Sicherheitsgruppe. - Gruppenrichtlinien können nur mit Domänen, Standorten und OUs verknüpft werden. Sie wirken ausschliesslich auf Nutzer- und Computerobjekte, die darin enthalten sind. - Ein Nutzer- oder Computerobjekt kann nur in einer OU enthalten sein. Die beiden Container "Users" und "Computers", die bei der Installation von AD angelegt werden, können nicht mit Gruppenrichtlinien verknüpft werden, da es sich nicht um OUs handelt (beachte die unterschiedlichen Icons). Eine sehr gute Lektüre ist die Examensvorbereitung 70-294 von MS Press: http://www.edv-buchversand.de/product.php?cnt=product&id=ms-932&lng=0 Das ist zwar einiger Leseaufwand, hilft aber Enttäuschung und Ratlosigkeit in der Anwendung von Active Directory zu vermeiden. Viel Spass;-) Zitieren Link zu diesem Kommentar
schusterharry 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 hab mri mal das Inhaltsverzeichnis angesehen-scheint recht ins Detail zu gehen das Buch. Gibts da auch sowas wie eine Beispielfirma im Buch? Denn sowas würd ich unbedingt suchen/Brauchen Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 21. Mai 2005 Melden Teilen Geschrieben 21. Mai 2005 Hallo Schusterharry, ich glaube das Du tatsächlich am besten mit dem Lesen einer guten OU/Richtlinien Einführung bedient wärst. Das KOnzept der OUs, der Feigaben und der Richtlinien hat sich MS ausgedacht um damit bestimmte Abstufungen und Kombinationen zu ermöglichen - man muss dann einfach nachlesen warum MS die Regeln genau so 'verdrahtet' hat und nicht anders ... Aber ich will nicht nur rumschlaumeiern: konkret zu Deiner Organisation. Meistens - das ist auch MS Empfehlung - teilt man nach organisatorischen oder geografischen Merkmalen oder man kombiniert beides. Du hast dich eben für eine organisatorische Gliederung entschieden - ist doch relativ üblich - auch gerade bei kleineren Firmen. Auch eine Sicherheitsgruppe die absolut deckungsgleich mit der OU und den Usern ist, findet man häufig. Mach dass ruhig so. (zu #5 so richtig die Zeit jeden Klick zu protokollieren hab ich jetzt eigentlich nicht, hab auch keinen W2K Server gerade rumliegen - ich weiß ja auch nicht was für Richtlinien Du wofür einsetzen wolltest, wäre dann reine Spekulation) Gruss Robert Zitieren Link zu diesem Kommentar
Userle 146 Geschrieben 21. Mai 2005 Melden Teilen Geschrieben 21. Mai 2005 IMHO sollte man sich natürlich in das Thema einlesen, aber man sollte auch die Kirche im Dorf lassen und rationell an die Aufgabe herangehen. Die Frage ist doch, was konkret willst Du erreichen ? Was Du in Deinem 1. Beitrag geschrieben hast ist ja grundsätzlich erstmal - wie schon angemerkt wurde -- ein Organisationsstruktur. Der Aufbau eines AD sollte durchdacht und nach schlüssigem Konzept erfolgen: - Welche User wird es geben - Welche Gemeinsamkeiten haben die User (Abteilungszugehörigkeit, Standort, Tätigkeitsbereiche) - Welche Rechte sollen die jeweiligen User erhalten - Welche User lassen sich "rechteseitig" gruppieren soll heißen haben die gleichen Rechte - Welche Richtlinien sollen für welche User gelten kurz gesagt: schreib Dir erstmal auf Papier die Punkte auf und suche nach "Schnittmengen". In meiner Firma habe es wie folgt gemacht: - Ich Unterscheide nach Abteilungen und nach Art des Clients (PC-User und Thin-Client-User) Das sieht in Baumstruktur ungefähr so aus: Domäne OU-> PC-User->angewendete Richtlinie "PC-User" OU-> Rewe User A User B User C OU-> Verkauf User D User E User F OU-> Logistik->angewendete Richtlinie "Logistik" User G User H OU-> Thin-Client-User->angewendete Richtlinie "Thin-Clients" OU-> Rewe User 01 OU-> Verkauf User 02 User 03 OU-> Logistik->angewendete Richtlinie "Logistik" User 04 User 05 OU-> Sicherheitsgruppen Rewe Verkauf Logistik Ich hoffe das ist einigermaßen anschaulich. Ist auch nur ein Beispiel Greetings Ralf Zitieren Link zu diesem Kommentar
schusterharry 10 Geschrieben 25. Mai 2005 Autor Melden Teilen Geschrieben 25. Mai 2005 hallo, Ich hab nun mal versucht unter Zuhilfenahme von dem 70-218 so halbegs ein Verständis zu bekommen und komme nun zu folgendem Ergebnis Wenn jemand Zeit und Lust hat würd ich mich über Vorschläge zur Verbesserung sehr freuen. Also ich habs mir nun mal so vorgestellt: da in den grünen Schwarten ja geschrieben steht das man User mit ähnlichen Aufgaben in einer Globalen Sicherheitsgruppe zusammenfassen soll hab ich das nun mal gemacht. 1. Ergebnis: Globale Sicherheitsgruppe Manager Globale Sicherheitsgruppe Produktion Globale Sicherheitsgruppe Freie Mitarbeiter Globale Sicherheitsgruppe Verwaltung/Büro Globale Sicherheitsgruppe Admins In jeder dieser Globalen Gruppen sind die entsprechenden USerkonten hinzugefügt worden Damit sind mal alle User mit den selben Aufgaben gruppiert........ Nun steht in meinen schlauen Büchern geschrieben das für den Ressourcenzugriff die Mitglieder einer GLOBALEN GRUPPE zu einer Lokalen Domänengruppe hinzugefügt werden sollen um so den Zugriff zu regeln. 2.) Zuordnung der GLOBALEN GRUPPEN Demnach müsste ich nun zb eine domänenlokale Gruppe erzeugen welcher es erlaubt ist auf eine Freigabe eines Dateiservers zuzugreifen und in diese Gruppe dann alle GLOBALEN SICHERHEITSGRUPPEN aufnehmen die Zugriff auf diese Freigabe haben sollen-seh ich das nun soweit richtig? 3.) Wieso aber kann ich nicht einfach den "Umweg" über eine Lokale Domänengruppe weglassen und gleich die GLOBALE Gruppe hinzufügen um den Zugriff zu regeln? Ausserdem würd mich interessieren wie das mit den Zugriff über die Domänen hinweg aussieht denn eine GLOBALE GRuppe hat ja Ressourcenzugriff auf alle Domänen meiner Gesamtstruktur-wenn ich nun diese GLOBALE GRUPPE zu einem Mitglied einer LOKALEN DOMÄNENGRUPPE mache geht dann auch die Fähigkeit verloren das MItglieder dieser GLOBALEN GRUPPE auf Ressourcen der Gesamtstruktur zugreifen können? Bzw haben die Mitglieder einer GLOBALEN GRUPPE welche Mitglied in einer LOKALEN DOMÄNENGRUPPE ist nun die Fähigkeiten der GLOBALEN ODER LOKALEN DOMÄNENGRUPPE? 4.) Dann noch ne Frage: Soll ich nun die einzelnen USerkonten in die gewünschten Ous verschieben oder reicht es einfach die JEWEILIGEN GLOBALEN GRUPPEN in die gewünschten OUs zu verschieben? Also immer noch: Fragen über Fragen und ich bin leider jemand der es SEHR genau wissen will wenn ihn was interessiert Wär nett wenn wieder ein paar Leute nen Komment zu meinen Fragen bzw Vorschlägen abgegen würd mfg harry Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.