Zum Inhalt wechseln


Foto

AD Fragen


  • Bitte melde dich an um zu Antworten
53 Antworten in diesem Thema

#46 Sunny61

Sunny61

    Expert Member

  • 22.098 Beiträge

 

Geschrieben 05. Juli 2014 - 22:04

Wenn ich diesen admin-user als Mitglied der lokalen Administratoren Gruppe und Domänen-Benutzer eintrage, funktionieren am Client nach dem erneuten Login trotzdem nicht die Admin-Rechte. zB. Server-Manager lässt sich nicht öffnen und sagt es fehlen die Administrator-Rechte. Ich kann natürlich als Admin ausführen und den Domänen-Administrator eintragen, aber macht das Sinn? Ist das was du meintest?


Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#47 kosta88

kosta88

    Senior Member

  • 315 Beiträge

 

Geschrieben 08. Juli 2014 - 19:29

Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer.

 

Sorry für die späte Antwort, war auf unseren Firmenschulungen in Deutschland. Bin jetzt etwa schlauer wenn's um die Netzwerkkonfiguration und Troubleshooting geht ;-)

 

Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :)

Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut.

In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist.

Macht Sinn?

 

Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage:

Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist?



#48 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 08. Juli 2014 - 19:54

Möglicherweise hilft dir weiter: http://www.faq-o-mat...richtig-nutzen/


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#49 Sunny61

Sunny61

    Expert Member

  • 22.098 Beiträge

 

Geschrieben 09. Juli 2014 - 14:21

Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :)
Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut.


Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)


In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist.
Macht Sinn?




Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenri...n-pro-computer/
 

Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage:
Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist?



An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#50 kosta88

kosta88

    Senior Member

  • 315 Beiträge

 

Geschrieben 09. Juli 2014 - 21:54

[quote name="lefg" post="1236422" timestamp="1404849249"]
Möglicherweise hilft dir weiter: http://www.faq-o-mat...richtig-nutzen/[/quote]
Danke, schaut wie ein toller Artikel für den Anfang. Werde ich lesen.


Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

Ja schon. Deswegen habe ich OUs ;-)


Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenri...n-pro-computer/

Ich brauche auch die Gruppen für die Nutzer, da ich so leichter die TS Zugriffe erlauben kann, ohne auf den TS gehen zu müssen. Link schaue ich mir an, sicherlich informativ!




An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain.[/quote]

OOTB ist mir klar. Aber man kann einen Nutzer erstellen und ihm die Domänen-Admin Gruppe zuteilen. Und dann hat er absolut die gleichen Berechtigungen und Möglichkeiten wie der "Administrator". Deswegen für mich die Frage warum die Mühe überhaupt.

Bearbeitet von kosta88, 09. Juli 2014 - 21:55.


#51 Sunny61

Sunny61

    Expert Member

  • 22.098 Beiträge

 

Geschrieben 09. Juli 2014 - 22:00

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

Ja schon. Deswegen habe ich OUs ;-)



Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#52 NorbertFe

NorbertFe

    Expert Member

  • 30.603 Beiträge

 

Geschrieben 09. Juli 2014 - 22:17

Ja schon. Deswegen habe ich OUs ;-)


OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#53 kosta88

kosta88

    Senior Member

  • 315 Beiträge

 

Geschrieben 10. Juli 2014 - 06:27

Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten.

Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon. In der Gruppenrichtlinienverwaltung kann ich ja die Gruppenrichtlinienobjekte auf die OUs verlinken.

Wenn ich dich jetzt richtig verstehe, will du mir sagen, dass hätte ich NUR die Gruppe in der OU, und die Benutzer woanders, würde sich die OU nicht auf diese Benutzer auswirken - OK, das hätte ich nicht gewusst, daher danke.

Ich werde das durchgehen sobald ich ein wenig Luft bekomme.

 

OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;)

Bye
Norbert

 

Wie schon gesagt, sind beide (Gruppe und Benutzer) drinnen, deswegen wirkt es ja. Habe ich schon geprüft.


Bearbeitet von kosta88, 10. Juli 2014 - 07:06.


#54 Sunny61

Sunny61

    Expert Member

  • 22.098 Beiträge

 

Geschrieben 10. Juli 2014 - 09:32

Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon.


OK, und genau dieser Teil hat in den bisherigen Postings gefehlt, dann ist ja alles klar.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/