Rumak18 11 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 Hallo, wir haben hier eine AD 2008 R2 mit einfacher OU Struktur: - Domain - OU1 - Verknüpfte GPO1 - Verknüpfte GPO2 - Verknüpfte GPO3 - OU2 - Verknüpfte GPO4 - Verknüpfte GPO5 - Verknüpfte GPO6 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen??
4077 30 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 Sind das überhaupt Benutzer-GPO? Und ist der Benutzer überhaupt in OU1?
Sunny61 833 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen?? Du kannst auch die Authentifizierten Benutzer überall eintragen. Ansonsten mußt Du mit Sicherheitsgruppen arbeiten. Und ja, natürlich mußt Du Benutzerobjekte explizit zu jedem GPO hinzufügen. GPOs sind eigene Objekte und haben mit den OUs nichts zu tun. Wäre ja auch fatal wenn das so einfach funktionieren würde, wie Du das gerne hättest.
Rumak18 11 Geschrieben 28. Januar 2014 Autor Melden Geschrieben 28. Januar 2014 Ach ok...danke! Eine kleine Nachfrage noch dazu: Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist?
4077 30 Geschrieben 28. Januar 2014 Melden Geschrieben 28. Januar 2014 OU1_Admin wäre bereits in der Gruppe enthalten. Du könntest auch eine Starter-Gruppenrichtlinie anlegen. Einbinden müßtest Du sie bei einer neuen GPO trotzdem.
Rumak18 11 Geschrieben 28. Januar 2014 Autor Melden Geschrieben 28. Januar 2014 Hallo @4077: Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte.
Sunny61 833 Geschrieben 30. Januar 2014 Melden Geschrieben 30. Januar 2014 Nur mal so eine Idee: http://www.ldap389.info/en/2011/01/06/powershell-sddl-edit-gpo-security-settings/
lefg 276 Geschrieben 30. Januar 2014 Melden Geschrieben 30. Januar 2014 Hallo, ich las eine ganze Weile die Überschrift des Thead, dann kam ich auf den Stein des Anstosses "GPOs in OUs". Liegt hier ein Irrtum vor, so dachte ich mir. Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU.
Rumak18 11 Geschrieben 31. Januar 2014 Autor Melden Geschrieben 31. Januar 2014 Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html
Sunny61 833 Geschrieben 31. Januar 2014 Melden Geschrieben 31. Januar 2014 Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html Danke für die Rückmeldung! Das muß man nur gut im Hinterkopf behalten, ansonsten wundert man sich zu gewisser Zeit über Gruppen/User die in den GPOs plötzlich immer enthalten sind. ;) Nach meinem Verständnis ist eine Gruppenrichtline kein Objekt in der OU, Gruppenrichtlinien können wirken auf Objekte in einer OU. Ein GPO ist aber auch ein Objekt im AD und kann natürlich wie ein solches bearbeitet werden.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden