Gruppenrichtlinien bei Active Directory Windows 2003 Srv

[promot 10]

Hallo, ich mache gerade eine Lehre als EDV-Techniker.

 

Mein Chef hat mir gesag ich soll einen Windows 2003 Server installieren mit Active directory, dhcp und dns server.

 

Hat auch alles hingehaun. habe eine neue Domäne mit namen TEST.NET angelegt und hab auch schon User und Gruppen angelegt. Das mit den Startscricpt haut auch schon hin.

 

Es zwickt nur noch bei den Gruppenrichtlinien, da komm ich echt nicht weiter.

 

z.b. der User1 ist in der Gruppe von "Lager" die was z.B. die Funktion "STRG+ALT+ENTF" nicht erlaubt wird, und der User 2 ist in der Gruppe von "Verkauf" dem z.B. die Funktion für "Regedit" wiederschrieben wird.

 

Wie und Wo kann man das einstellen, ich hab schon gesucht aber was passendes war nicht dabei.

 

Danke

 

MfG

Reini:suspect:

[Lord88 10]

Hallo Reini,

 

dann schau erstmal hier rein: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Gruß Dirk

[lefg 276]

Die Gruppenrichtlinien haben nichts mit den Sicherheitsgruppen der Benutzer zu tun.

[promot 10]

ja das hab ich mir auch schon angeschaut, aber das is nicht da was ich suche.

 

wir haben das schon mal in der berufschule gemacht, und das war ungefair 10 minuten arbeit und dann hat das gepasst, aber da es nur 10minuten waren hab ich nicht auf gepasst, und das geht mir jetzt ab.

 

Das war ganz einfach in der schule, abe ich habs vergessen wie es ging.

 

mfg

Reini

[IThome 10]

Sowas kannst Du mit der Sicherheitsfilterung erreichen. Per Default hat ein GPO die Berechtigung "Lesen" und "Gruppenrichtlinien übernehmen" für die Gruppe Authentifizierte Benutzer (also quasi alle). Willst Du Richtlinien hoch platzieren, aber nicht jeder soll jede Richtlinie erhalten, wird die Gruppe der Authentifizierten Benutzer gegen eine andere Gruppe getauscht. Eine andere Möglichkeit wäre, eine OU Struktur anzulegen, die z.B. die Abteilungen wiederspiegelt und dann die entsprechenden GPOs in die OUs linkst ...

[promot 10]

mhh, das sagt mir jetzt auch nichts was du da geschrieben hast^^

 

kenn mich da noch net so gut aus mit den active directory.

 

Hab mich seit gestern erst damit beschäfftigt.

[IThome 10]

Hast Du die Gruppenrichtlinienverwaltungskonsole installiert oder konfigurierst Du die Richtlinien via Active Directory Benutzer und Computer ?

[promot 10]

ich hab jetzt noch nichts installiert.

 

Möcht das aber über das Active Directory machen ohne etwas zu installieren.

 

WIr haben in der Berufschule irgend was mit Organasietions einheiten gemacht.

 

mfg reini

[IThome 10]

Ich versuche es mal zu erklären. Eine Gruppenrichtlinie wirkt auf die Objekte, die sich in dessen Reichweite befinden. In der Gruppenrichtlinie kann man Einstellungen in der Benutzer- und Computerkonfiguration einstellen. Stellst Du etwas in der Benutzerkonfiguration ein, müssen sich in der Reichweite der Richtlinie auch Benutzerobjekte befinden, bei der Computerkonfiguration müssen es Computerobjekte sein. Richtlinien lassen sich an 4 Stellen aktivieren (der Reihenfolge nach von der niedrigsten bis zur höchsten Priorität)

Lokale Richtlinien

Standort-Richtlinien

Domänen-Richtlinien

Organisationseinheiten-Richtlinien

wobei auch gilt, je näher am Objekt, desto höher die Priorität. Verknüpfst Du eine Richtlinie z.B. auf der Domänenebene und stellst dort etwas in der Benutzerkonfiguration ein, wirken diese Einstellungen auf alle Benutzerobjekte (nicht Gruppen) unterhalb der Domäne (sofern sie nicht von einem GPO höherer Priorität überschrieben werden oder die Vererbung deaktiviert wurde). Möchtest Du jetzt eine Richtlinie erstellen, die für Gruppe A etwas einstellt, was nicht für Gruppe B gilt und umgekehrt, kannst Du diese Richtlinie auch auf hoher Ebene (Domäne z.B.) verknüpfen. Einfach nur in die Domäne linken klappt aber in diesem Fall ohne weiteres nicht, da es ja alle Benutzerkonten unterhalb der Domäne erreicht und nicht nur Mitglieder der Gruppe A oder B. Es erreicht alle Benutzerkonten, da die Sicherheitsfilterung der Richtlinie standardmässig den Authentifizierten Benutzern "Lesen" und "Gruppenrichtlinie übernehmen" definiert und zu dieser Gruppe gehören Mitglieder der Gruppe A und B. Also musst Du aus der Sicherheitsfilterung die Gruppe der AUthentifizierten Benutzer entfernen und stattdessen z.B. die Gruppe A eintragen mit der Berechtigung "Lesen" und "Gruppenrichtlinie übernehmen". Die Einstellungen in dieser Richtlinie werden dann auch nur von Mitgliedern der Gruppe A übernommen und nicht von Mitgliedern der Gruppe B.

Eine weitere Möglichkeit wäre, die entsprechenden Benutzerobjekte in eine Organisationseinheit zu verschieben, die z.B. Verwaltung heisst. Parallel zu dieser OU wird eine weitere OU Lager eingerichtet und dort kommen alle Benutzerobjekte hinein, die im Lager arbeiten. Werden jetzt in OU Verwaltung Richtlinien definiert (in der Benutzerkonfiguration), gelten diese auch nur für die Objekte, die sich in dieser OU befinden. Diese Richtlinie erreicht die Objekte in der OU Lager nicht ...

Das war ein Erklärungsversuch in Kurzform und nicht vollständig, aber vielleicht bringt er Dich auf den richtigen Weg ...

[promot 10]

jetzt hats hingehaun.

 

hab mir da das microsoft tool runtergeladen( Group Policy Managment) hab da dann, noch im Active Directory noch eine Organisations einheit Namens "Lager" und hab dann dort die User reingemacht die auch in der Gruppe lager sind.

Hab dann ein neues "Gruppenrichtslinenobjekt" angelegt namens lager, dann Hab ich mit den Tool von microsoft die Oraginastionseinheit "Lager" mit den neune angelegten Gruppenrichtslinenobjekt verknüpft, hat super hingeaun, hab dann auch dirket einstellungen machen können.

[IThome 10]

Ja genau, so hätte ich das auch gemacht ...