MHenning 11 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Hallo Zusammen, Unsere Domäne wächst stetig, da immer wieder Leute dazu kommen und oder auch Bereiche sich stark verändern und vergrößern. Auch weitere Niederlassungen sind ein Thema. Es wird also größer und komplizierter und auch die Anforderungen auf eine präzisere Verwaltbarkeit für uns Admins steigt. Nurmal ein kleines Beispiel: 2 Benutzer die eigentlich den gleichen Job machen Beide sollen gleiche Laufwerke haben, die aber eigentlich nur Leute im Verwaltungsbereich haben. nur einer von beiden soll Internetzugriff haben, der andere aber auch definitiv nicht ! Es ist zum verrückt werden. Nun soll ich das natürlich auch exakt so umsetzen, da eben nicht jeder alles darf. Sicherlich nicht schlimm, ich möchte das aber gerne so strukturiert wie möglich machen so das andere Mit-Admins auch da durchblicken können. Meine User sind in einer einzigen OU wo eben die ganzen GPO's drunterhängen die dann wiederrum mit Gruppenmitgliedschaften gefiltert werden. Nun frage ich mich: soll ich das mit noch mehr GPO's lösen oder ist es sinnvoller erstmal die Abteilungstruktur in OU's abzubilden und darin dann mit weniger GPO's die Sachen zu regeln. Es werden zwar mehr GPO's insgesamt in der Domäne aber weniger pro OU. Ist zwar mehr zum verwalten, aber auch strukturierter für den einzelnen Bereich. Nachteil, bei Änderungen zB. des Proxyservers muss das eben in viel mehr Richtlinien geändert werden, was nicht schlimm ist, aber eben länger dauert. Meine Frage an euch: Wie löst Ihr solche Sachen, mehr GPO's oder generell erstmal Abteilungs-OU's wo dann weniger GPO's pro OU drin sind? Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Wenn alle deiner User in einer ou stecken und du sicherheitsfilterung einsetzt, würde ich das auch nicht als besonders übersichtlich finden. Insofern ja, ich würde mit zusätzlichen ous arbeiten. Die Anzahl und Struktur richtet sich nach deinen Anforderungen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 (bearbeitet) Hallo Zusammen, 2 Benutzer die eigentlich den gleichen Job machenBeide sollen gleiche Laufwerke haben, die aber eigentlich nur Leute im Verwaltungsbereich haben. nur einer von beiden soll Internetzugriff haben, der andere aber auch definitiv nicht ! Es ist zum verrückt werden. Nun soll ich das natürlich auch exakt so umsetzen, da eben nicht jeder alles darf. Sicherlich nicht schlimm, ich möchte das aber gerne so strukturiert wie möglich machen so das andere Mit-Admins auch da durchblicken können. Hallo, was soll jemand denn dürfen oder nicht? Eine Beschränkung des Internetzugriffs regle ich möglichst mit einen Proxy. Den Zugriff auf Freigaben und Ordner regle ich mit der Mitgliedschaft in Sicherheitsgruppen. Wenn ich z.B. zwei Fachbereiche habe, - die Rechner des jeweilegen FB in einer HostOU dazu - die User des FB in einer UserOU dazu dass diente ursprünglich eines besseren Überblicks. Dann kam für jeden FB ein Anmeldeskript dazu, der Start bedurfte einer GPO auf der UserOU. Für Wartungsarbeiten wurde benötigt ein AutoAdminLogon, dazu ein GPO auf eine SubOU der HostUO, der Rechnerkonto wurde in die SubOU verschoben. bearbeitet 24. Juli 2014 von lefg Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Kann da lefg nur zustimmen, bestimmte Themen wie z.b. Internetzugriff kann man mit einem Proxy wesentlich einfacher mit AD Gruppen konfigurieren als mit GPOs rumzuhantieren. Nachteil, bei Änderungen zB. des Proxyservers muss das eben in viel mehr Richtlinien geändert werden, was nicht schlimm ist, aber eben länger dauert. Dafür reicht doch einfach eine "Ober GPO" die du dann auf die verschiedenen OUs verlinkst. Keep it simple ;) Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Kann da lefg nur zustimmen, bestimmte Themen wie z.b. Internetzugriff kann man mit einem Proxy wesentlich einfacher mit AD Gruppen konfigurieren als mit GPOs rumzuhantieren. Internet kann man mit GPO überhaupt nicht regeln. Alles was da geht sind Würgherums die weder Sicher noch praktisch sind. Dafür reicht doch einfach eine "Ober GPO" die du dann auf die verschiedenen OUs verlinkst. Keep it simple ;) Kann ich nur zustimmen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Internet kann man mit GPO überhaupt nicht regeln. Alles was da geht sind Würgherums die weder Sicher noch praktisch sind. Hab da schon die wildesten Konstrukte gesehen. Von Proxy auf 127.0.0.1 setzen bis zu Loginscripte die Routen verbiegen und 0.0.0.0 auf ein nicht vorhandes GW setzen. Macht dann das Troubleshooten richtig schön, wenn auf einmal die IP vergeben wird des "nicht vorhandenen" GW und man sich wundert warum die Workstation mit 100% CPU arbeitet direkt nach dem Start. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Ich sag ja, man kann es per GPO gar nicht regeln. Alles was man damit erreicht ist "Kram", der einem irgendwann auf den Fuß fällt. Jeder der das schon gesehen oder erlebt hat, wird das nicht mehr einsetzen. Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 ...und wenn der TO sich für OUs entscheidet: Du sollst _nicht_ die Abteilungsstruktur abbilden, sondern dein AD damit organisieren. Dafür sind sie nämlich da... Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 Ack. Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Hallo Zusammen, ich muss zugeben, jetzt bin ich verwirrter als vorher. Sorry aber ich hatte mir irgendwie andere Antworten erhofft. Hallo, was soll jemand denn dürfen oder nicht? Eine Beschränkung des Internetzugriffs regle ich möglichst mit einen Proxy. Den Zugriff auf Freigaben und Ordner regle ich mit der Mitgliedschaft in Sicherheitsgruppen. Wenn ich z.B. zwei Fachbereiche habe, - die Rechner des jeweilegen FB in einer HostOU dazu - die User des FB in einer UserOU dazu dass diente ursprünglich eines besseren Überblicks. Dann kam für jeden FB ein Anmeldeskript dazu, der Start bedurfte einer GPO auf der UserOU. Für Wartungsarbeiten wurde benötigt ein AutoAdminLogon, dazu ein GPO auf eine SubOU der HostUO, der Rechnerkonto wurde in die SubOU verschoben. Hi lefg, tja es gibt halt solche Anforderungen. Fragt nicht danach ob das Sinn macht oder nicht (für mich ergibt es auch keinen Sinn). Dein Zitat liefert mir im Prinzip genau das was ich fragte. Den Internetzugriff regele ich ja auch mit einem proxy. Die Einstellungen kommen mit einer Gruppenrichtlinie und nur wer in der Sicherheitsgruppe drin ist, bei dem wird der Proxy gemäß Vorgaben eingestellt und der Kollege hat somit Internet. Nun Befinden sich die beiden genannten Kollegen in exact denselben Gruppen, der eine soll Internet haben der andere aber nicht. Nun wollte ich nicht einfach warlos Gruppen bauen um dem beizukommen sondern Sinnvoll auf die Anforderungen reagieren. Demzufolge war mein Gedanke das ich nun endlich die alten Strukturen durchbreche und alles etwas Sinnvoller und übersichtlicher konfiguriere. Dazu wollte ich halt wissen, ob es eben Sinnvoller ist das nach Abteilungen abzubilden oder es einen anderen besseren Weg gibt. Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Du möchtest also nicht hören, dass man es lieber richtig macht, sondern dein Konstrukt einfach nur weiter basteln? Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Hallo Zusammen, naja ich will ja hören, deswegen frage ich euch ja. Es kann ja sein das ich völlig vom Weg abgekommen bin mit meiner Denke. Demzufolge war mein Gedanke das ich nun endlich die alten Strukturen durchbreche und alles etwas Sinnvoller und übersichtlicher konfiguriere. Dazu wollte ich halt wissen, ob es eben Sinnvoller ist das nach Abteilungen abzubilden oder es einen anderen besseren Weg gibt. Gruß Martin Ausserdem war es ja genau meine Frage wenn Du noch mal liest. Ich möchte aus dem alten gewachsenen Saustall eine Saubere übersichtliche AD Struktur machen. Dazu meine Frage: regelt ihr das mit mehr OUs um es zu strukturieren oder mit Gruppen oder oder oder? Wie die Sachen funktionieren weiß ich, da es ja sonst nicht laufen würde. Oder Stelle ich meine Frage verkehrt? Manchmal steht man sich ja selbst im Weg, kann ja sein. Gruß Martin Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Moin, wo ist den nun das Problem? Den einen oder mehreren Kollgen den Zugang zum Internet zu verwehren? Ich mache das nicht mit GPO, da kenne ich keine Möglichkeit. Als Proxy verwende ich IPCop transparent, der hat eine Sicherheitsfilterung, die eigentlich gedacht z.B. für Minderjährige. Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Achso, bei mir gibt es den Internet Explorer. mehr nicht ! FF Portable? was soll das? Gruß martin Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Dazu meine Frage: regelt ihr das mit mehr OUs um es zu strukturieren oder mit Gruppen oder oder oder? Das habe ich dir doch schon mit einem Beispiel geschildert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.