Jump to content

Gruppenrichtlinien


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hy Leute,

 

benötige mal wieder kurz einen Schubser in die richtige Richtung :)

 

Da ich bisher externer Diestleister war und Netze aufgebaut habe, habe ich mit der eigentlichen täglichen Administration relativ wenig zu tun gehabt.

Jetzt bräuchte ich dringend mal ne Meinung.

 

Folgendes:

 

Es sollen bei einem W2K3 AD Gruppenrichtlinien angewendet werden. Beispiel: Einschränkungen beim Desktop und von mir aus Beschränkungen beim Internetzugriff. Nur so als Beispiel...

Jetzt gibt es User, die sollen nur eine der Beschränkungen haben und andere sollen z.B. beide Beschränkungen haben. Ich war bisher der meinung, ich lege OUs an, packe dort die jeweilige policy drauf, lege in die OUs Gruppen und packe die User in diese Gruppen rein.

So kann ein User auch unter mehrere policys fallen. Die Geschichte mit den Gruppen mache ich, weil ein Benutzer ja nun mal im AD nur einmal vorhanden sein kann und somit immer nur in einer OU liegen kann. Jetzt scheinen diese policys aber nicht auf die Gruppen zu ziehen, die in den jeweiligen OUs liegen...

Jedenfalls habe ich die Meldung von einem meiner ehemaligen Kunden bekommen, den ich nach meinem Jobwechsel in die interne Administration noch etwas nachbetreue.

 

Wo habe ich da einen Gedankenfehler ? Wie kann ich es aufsetzen, so daß es funzt ?

 

Bitte jetzt nicht lachen, habe die letzten Jahre echt hauptsächlich Netzwerke und Domänen aufgebaut und Migrationen durchgezogen, mit policys habe ich bisher echt nur am Rande zu tun gehabt, das haben die Admins der Kunden dann nachher meistens selber gemacht...

 

Wäre über den ein oder anderen Tip echt superdankbar... :D

 

Grüsse an alle !!

 

schroeder750

Link zu diesem Kommentar

Hallo ITHome,

 

zunächst mal vielen Dank für Deine fixe Antwort !

 

Ich muss aber gestehen, daß ich da noch nicht so ganz durchsteige... :confused:

 

Ich lege also die Beschränkungen durch die policys auf einer relativ oberen Ebene an, so daß diese policys theoretisch jeden User in der Domäne erwischen würden.

- Beispiel: User darf nicht ins Internet.

Dann lege ich eine Gruppe (Universal, Sicherheit ist in Ordnung, nehme ich an ? ) an, in die ich die Benutzer reinpacke, die dann DOCH ins Internet dürfen sollen.

Anschließend konfiguriere ich für diese Gruppe, daß die GPOs hier nicht ziehen sollen, richtig ?

Wenn ich also auf der oberen Ebene so ziemlich alles verboten habe, darf ein User standardmäßig erstmal so gut wie nichts, solange, bis ich ihn in die Gruppen gepackt habe, die die jeweilige GPO wieder aushebeln, richtig ?

 

Und jetzt die Masterfrage: Wie verhindere ich bei einer solchen Gruppe, daß die GPO von oben angewendet wird ?

 

Kanst Du mir das mal kurz in Stichworten skizzieren ?

 

Danke Dir schonmal im Voraus !!!

 

Grüsse

 

schroeder750

Link zu diesem Kommentar

Hy, ich bin's nochmal,

 

habe mal ein wenig nachgeforscht und folgende Möglichkeit gefunden:

 

Ich packe z.B. die GPO "Internet verboten" auf die gleiche Ebene wie die Default Domain Policy, also ganz oben.

Ab diesem Zeitpunkt darf ja theoretisch niemand mehr ins Internet.

 

Nun erstelle ich irgendwo eine Gruppe "Internet erlaubt" und gebe bei der policy "Internet verboten" an, daß die Gruppe "Internet erlaubt" diese nicht lesen kann (Haken raus bei "Gruppenrichtlinie übernehmen" für diese Gruppe).

 

Reicht das schon ?

 

Die User werden aber natürlich noch Mitglied in anderen Gruppen sein, die natürlich die policy lesen können, stellt das kein Problem dar ?

Gilt da die einmalige Verneinung, die Richtlinie lesen zu können vorrangig ?

 

Oder bin ich so völlig auf dem Holzweg ?

 

Grüsse

 

schroeder750

Link zu diesem Kommentar

Das nennt man Sciherheitsfilterung, also der richtige Weg (einer davon) :) Je näher eine Richtlinie am Objekt ist, desto mehr Priorität hat sie. Die an der OU liegende Richtlinie überschreibt also die, die auf der Domänenebene liegt (bei gleichen Einstellungen natürlich nur) ...

Wird den Benutzern der Gruppe der Zugriff verweigert, dann können sie diese Richtlinie nicht übernehmen und demzufolge auch nicht ausführen, was in ihr konfiguriert wird (Verweigern kommt vor Erlauben). Wird auf unterer Ebene etwas anderes konfiguriert und sie dürfen dort die Richtlinie anwenden, dann werden sie es auch tun.

Du kannst die Sicherheitsfilterung entweder so lassen wie sie, aber zusätzlich die Gruppe "Internet erlaubt" zufügen und Gruppenrichtlinie übernehmen verweigern. Oder Du erzeugst eine Gruppe für alle Benutzer, die nicht ins Internet sollen, entfernst die Authentifizierten Benutzer und fügst statdessen die neu erstellte Gruppe zu und konfigurierst ihr zusätzlich Gruppenrichtlinie übernehmen erlaubt.

Ob es reicht, nur eine Gruppe mit Benutzerkonten zu verwenden, hängt davon ab, ob Du in der Benutzer- oder in der Computerkonfiguration konfiguriert hast. Auch ein Computerkonto muss in der LAge sein, eine Richtlinie zu lesen und zu übernehmen. Per Default ist auch ein Computerkonto Mitglied der Gruppe Authentifizierte Benutzer und wenn Du diese Gruppe entfernst, müsstest Du stattdessen eine Gruppe mit Computerkonten erstellen, die die Richtlinie übernehmen sollen (im Falle der Konfiguration im Computerteil der Richtlinie, nur theoretisch, ist bei Dir wohl nicht so) ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...