Jump to content

Gruppen und OUs an einem konkreten Beispiel


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen, 

 

ich habe immer noch nicht so richtig verstanden, warum man OUs und Gruppen genau braucht, bzw wo der genaue Unterschied ist. 

Wie würde man das denn z.B. an einer Schule am besten machen? 

Sagen wir man nehme als Domainname schule.local . 

Innerhalb dieser Domäne legt man OUs an wie z.B. Lehrer, Schüler, Administratoren. Bei den Schülern könnte man Klassen und Kurse als Unter-OUs anlegen. 

Müsste man dann auch die gleichen Gruppen anlegen? 

 

Die entsprechenden Ordner werden dann vermutlich automatisch angelegt, wenn man für die Nutzer  'irgendwie'  die Ordnerumleitung oder Servergespeicherte Profile anlegt. Oder müsste man noch manuell Ordner anlegen? 

 

Ich habe schon danach gegoogelt und auch einige Gute Treffer gefunden, aber so richtig ist der Groschen noch nicht gefallen. 

Wenn mir das jemand auseinanderklamüsern könnte, wäre ich heftig froh. 

 

Danke schon mal im Voraus

und 

viele Grüße

Karl

Link to comment

Oh, das ging aber schnell.  :)   Danke !  

 

Aber die GPOs werden doch mit OUs verknüpt,  Und gerade die GPOs enthalten doch auch Berechtigungsinformationen. 

Oder sind  mit den Berechtigungsvergaben die NTFS-Berechtigungen gemeint? 

 

Macht es Sinn, generell für jede OU auch eine Gruppe anzulegen? 

Link to comment

Moin,

 

OUs sind wie Ordner im Dateisystem. Jede Datei kann in genau einem Ordner liegen, jeder User (bzw. jedes andere AD-Objekt) analog in genau einer OU. Zunächst handelt es sich um eine reine Ordnungsstruktur, die man jederzeit ändern kann, wenn es besser passt.

 

Gruppen hingegen dienen der Vergabe von Berechtigungen. Ein User kann in beliebig vielen Gruppen gleichzeitig Mitglied sein.

Eine Gruppe hat eine Security-ID und kann damit Berechtigungen auf Dateien, Datenbanken, Mailboxen, Drucker usw. erhalten. (Eine OU hat keine Security-ID und kann daher keine Berechtigungen erhalten.)

 

Meist ist es effizienter, Berechtigungen an Gruppen zu verteilen als an einzelne User. Sollen etwa zehn Schüler einer Klasse eine Datei nutzen können, dann kann man eine Gruppe definieren und die zehn Schüler dort aufnehmen. Nur die Gruppe erhält Zugriffsrechte auf die Datei - durch ihre Mitgliedschaft erhalten die zehn Schüler die Rechte "durchgereicht". Soll später noch ein weiterer Schüler die Rechte haben, nimmt man ihn einfach in die Gruppe aus. Sollen zwei Schüler das Recht nicht mehr haben, entfernt man sie aus der Gruppe.

 

Gruß, Nils

Edited by NilsK
Link to comment

Hallo,

 

Berechtigungen auf NTFS-Objekte werden mit Sicherheitsgruppen erteilt, im Ausnahmefall, im Spizialfall mit einem einzelnen Benutzerkonto.

 

Mit OU`s kann man tatsächlich die Struktur der Firma, der Schule abbilden, in etwa, natürlich muss das auch Sinn machen.

 

Ich habe erstmal im AD UO`s für die verschiednen Bereiche der Schule: den Dozentenpool, den Bildungsbereich, den Jugendbereich, den Fachschulbereich, den Hochschulbereich. Darunter gegliedert sind jeweils die OU`s für die Seminare mit Sicherheitsgruppen und Benutzerkonten drin; Sinn der Sache ist, die Sicherheitsgruppen und Benutzerkonten leicht wieder zu finden, es hilft mir so beit der Administration, am Ende zum Löschen. Ich benutze diese OU`s nicht, um Berechtigungen zu erteilen, auch lasse ich dort keine GPO`s wirken.

 

Dann gibt es die OU Buildings&Rooms, darin wieder UO`s mit den Seminarräumen und Pools, darin die Konten der dort stationierten Rechner. Auf Buildings&rooms wirken Grppenrichtlinien für alle Computer, auf die Räume wird es spezieller, je nach Notwendigkeit, nach Hardware oder nach administrativer Operation bei Wartung zum Beispiel.

 

Die selbe Struktur wie für die OU`s der Schulbereichs- und der Seminare ist auf dem Fileserver als Verzeihnisstruktur abgebildet. Dort Ordner eines Seminares enthält Unterordner für die Benutzer, jeweils einen Profil- und einen Homeordner. Weiter gibt es einen Aufgabenordner und einen Austauschordner. Auf Profil- und Homeordner hat i.d.R. nur der Studierende als Besitzer Zugriff, im Ausnahmefall mit Einverständnis ein spezieller Dozent. Auf den Aufgabenordner hat die Sicheitsgruppe Seminar lesenden Zugriff auf den Austauschordner lesen und schreiben. Auf das übergeordnete Seminarverzeichnis hat die Sichheitsgruppe Zugriff, ebenso die Dozenten.

 

Die Seminare mit Benutzerkonten, Sicherheitsgruppen, OU`s und Ordner lege ich per Batch an parametriert mit einer Textdatei, in dieser stehen Nachnamen, Vornamen und Geburtsdaten, davon werden auch die Kennwörter für die Erstanmeldung abgeleitet. Die Textdatei wird von der Verwaltung mit Daten aus unserem Wirtschaftsinformationssystem erzeugt und mir zugesandt.

 

Ich denke, das wäre es im Wesentlichen.

Edited by lefg
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...