Jump to content
kaineanung

Wie und wo strukturiert man am besten OUs?

Recommended Posts

Hallo Leute,

 

da wir bisher mit der AD relativ wenig zu tun hatten und mit GPOs fast gar nichts (ausser die Kennwortrichtlinie in W2K3 in der Default Domain Policy), stehe ich vor der Frage ob man OUs benötigt, wie die am besten aufgebaut sind und vor allem ob ich diese in der AD oder in dem Gruppenrichtlininen.Editor (da kann man ja auch OUs erstellen)?

 

Ich habe die auf gruppenrichtlininen.de die Anleitung 'Erstellen einer Gruppenrichtlinie' gerade angefangen zu lesen und dort steht man soll als allererstes OUs erstellen (Meine Benutzer und Meine Computer).

So wie ich das lese, wird dort von der AD geredet, als Bildbeispiel ist aber der Gruppenrichtlinien-Editor zu sehen. Das ist aber nicht das Selbe, oder?

Und wenn es das nicht ist: was ist der Unterschied und wo soll man es anlegen?

 

Die andere Frage ist: wie soll ich die Struktur am besten anlegen? Firmenhierarchie (Abteilungen -> Teams -> Gruppen -> Untergruppen),  erscheint mir zu komplex und viel zu viele Ebenen. Ändert sich eine Gruppe (und das passiert relativ häufig) muss man wieder umkrempeln.

Reicht es da grob einzuteilen Benutzer, Server, Desktops, Aussendienst u.ä.?

Ich habe jetzt GPOs erstellt die alle betreffen und jeweils für unsere Abteilungen. Diese werden per Sicherheitsfilter selektiert, also über die Gruppenzuordnung angewandt. In der gpresult sehe ich alledrings dann in einem Abschnitt viele GPOs die nicht angewandt werden. Mich stört das jetzt nicht, aber ich denke das machen die Administratoren in der weiten Welt wahrscheinlich nicht so, oder?

 

Ich würde mich freuen wenn jemand mal sein Aufbau der OUs erklären / zeigen könnte damit ich eine Orientierung habe wie das gemacht werden sollte.

Share this post


Link to post
Share on other sites
vor 12 Minuten schrieb kaineanung:

da kann man ja auch OUs erstelle

Mit welchem Werkzeug du die erstellst ist doch egal. Kannst auch Powershell oder dsadd nehmen. Und ja in meinen Augen sollte man OUs verwenden. Eine Abbildung der Firmenhierarchie ist selten sinnvoll.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb NorbertFe:

Mit welchem Werkzeug du die erstellst ist doch egal.

Ich hätte es einfach einmal ausprobieren sollen und dieser Teil meiner Frage wäre beantwortet gewesen.

Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt. Somit hast du selbstverständlich Recht.

 

vor 9 Minuten schrieb NorbertFe:

Eine Abbildung der Firmenhierarchie ist selten sinnvoll.

Ja, das habe ich auch vermutet. Nur was soll es dann abbilden?

Reicht dann eine 'Benutzer'- und 'Server'- und 'Desktop'-OU? Vielleicht noch eine Aussendienst-OU bzw. Notebook-OU?

Wäre das eine OU-Aufteilung die man im Schnitt und so in etwa in der weiten Welt der Domänen vorfindet?

 

Ich habe das ja schon richtig verstanden das die übergeordneten OUs ihre verknüpften GPOs nach unten vererben, richtig? (Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde)?

 

 

Share this post


Link to post
Share on other sites
vor 5 Minuten schrieb kaineanung:

Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt

Der Unterschied liegt im Detail. OUs per GPMC werden nicht vor dem versehentlichen Löschen geschützt, was bei dsa.msc aber passiert.

 

vor 5 Minuten schrieb kaineanung:

Ja, das habe ich auch vermutet. Nur was soll es dann abbilden?

Das was du sinnvoll damit administrieren willst.

vor 5 Minuten schrieb kaineanung:

Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde

Ja würde man aber meist bleiben lassen, denn im Endeffekt spricht das Deaktivieren dann für schlechtes Design, IMHO. ;)

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Ich könnte ein Buch dazu empfehlen, da hab ich das glaub mehr als einmal reingeschrieben: OUs bilden nicht die Organisation des Unternehmens ab - sie dienen dazu, das AD zu organisieren. Es sind keine "Organisationseinheiten", sondern "Organisierungseinheiten" (ja, ich weiß wie b***d dieses Wort klingt :-) ).

OUs haben genau 2 Zwecke: Verlinkung von GPOs und Delegation von Berechtigungen.

Share this post


Link to post
Share on other sites

 

Moin

 

Nichts falls es nicht benötigt, aber etwas Sinn sollte es schon machen.

 

Nun, Opa erzählt mal vom Krieg. Eigentlich braucht ich es nicht wirklich, aber es gab das Bedürfnis Ordnung im  Haus, unser AD zu bringen, etwas mehr Übersicht für meinen Kollegen und Vorgesetzten. Es gab bei uns zwei Teileinheiten im Sinne von Fialie und Gebäudekomplexe, Ich schuf also für jede Teileinheit eine Computer-OU und eine User-OU, schob jeweils die Computer und User hinein. Das war es erstmal. Später kam dann tatsächlich einiges sinnvolles, möchte das heute Abend aber nicht mehr erläutern.

 

 

Edited by lefg

Share this post


Link to post
Share on other sites

Hallo, 

 

das können wir dir wahrscheinlich nicht beantworten.

Das müsst ihr euch selbst überlegen, da jedes Unternehmen anders aufgebaut ist.

 

Aber in der Regel werden OU´s nach Abteilungen und Bereichen gegliedert, ähnlich wie euer Organigram.

 

Gruß joehuabe

Share this post


Link to post
Share on other sites
Am 9.10.2019 um 16:17 schrieb NorbertFe:

Eine Abbildung der Firmenhierarchie ist selten sinnvoll.

 

vor 1 Minute schrieb joehuabe:

Aber in der Regel werden OU´s nach Abteilungen und Bereichen gegliedert, ähnlich wie euer Organigram.

Na dann kann er sich ja was aussuchen.

Share this post


Link to post
Share on other sites

Wie gesagt, meiner Meinung nach kommt es immer Auf das Unternehmen an.

Manchmal ist es sinnvoll, manchmal vielleicht nicht.

 

Bei uns sind die Abteilung-OUs mit den Benutzern getrennt von den Computer-OUs.

 

Auf die Frage zurück zu kommen:

Bei Gruppenrichtlinien gibt es immer Benutzer- und Computer-Richtlinien.

Eine Computer-Richtlinie wird also nie auf eine Abteilungs-OU angewendet.

 

Ich erstelle also eine OU (die es meist schon gibt) in der alle Computer-Objekte beinhaltet sind.

Hier kann ich dann eine neue Computer-Cruppenrichtlinie erstellen und dieser OU zuweisen.

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb joehuabe:

Aber in der Regel werden OU´s nach Abteilungen und Bereichen gegliedert, ähnlich wie euer Organigram.

 

Und wofür soll das gut sein?

Share this post


Link to post
Share on other sites

Das Organigram abzubilden ist meistens kontraproduktiv.

Ein Organigram definiert Unterstellungsverhältnisse. Die OUs bilden eine technische Sicht auf das Unternehmen ab. Die Namen der OUs können durchaus mit den Abteilungen korrespondieren, aber die Verschachtelung wird eine andere sein.

Edited by tesso

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb lefg:

 

Und wofür soll das gut sein?

Naja, per Gruppenrichtlinie kann man alles machen.

Bildschirmschoner verteilen, Registry Werte setzen, etc.

 

In meinem Fall habe ich mehrere Gesellschaften, welche unterschiedliche Bildschirmschoner benötigen.

Da ich die Gesellschaften in verschiedene OU´s habe, ist es für mich ein Kinderspiel die korrekten Settings zu verteilen.

Share this post


Link to post
Share on other sites
vor 41 Minuten schrieb joehuabe:

Da ich die Gesellschaften in verschiedene OU´s habe,

Ich glaube wir meinen alle das Gleiche. Es bleibt halt dabei, dass "kein" Organigramm die Vorlage sein sollte, sondern die Anforderungen definieren die OU Struktur. Dabei kann durchaus auch ein Organigramm-ähnliches Konstrukt rauskommen, meist ist das aber weder notwendig noch wirklich hilfreich.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...