Jump to content
kaineanung

Wie und wo strukturiert man am besten OUs?

Recommended Posts

Hallo Leute,

 

da wir bisher mit der AD relativ wenig zu tun hatten und mit GPOs fast gar nichts (ausser die Kennwortrichtlinie in W2K3 in der Default Domain Policy), stehe ich vor der Frage ob man OUs benötigt, wie die am besten aufgebaut sind und vor allem ob ich diese in der AD oder in dem Gruppenrichtlininen.Editor (da kann man ja auch OUs erstellen)?

 

Ich habe die auf gruppenrichtlininen.de die Anleitung 'Erstellen einer Gruppenrichtlinie' gerade angefangen zu lesen und dort steht man soll als allererstes OUs erstellen (Meine Benutzer und Meine Computer).

So wie ich das lese, wird dort von der AD geredet, als Bildbeispiel ist aber der Gruppenrichtlinien-Editor zu sehen. Das ist aber nicht das Selbe, oder?

Und wenn es das nicht ist: was ist der Unterschied und wo soll man es anlegen?

 

Die andere Frage ist: wie soll ich die Struktur am besten anlegen? Firmenhierarchie (Abteilungen -> Teams -> Gruppen -> Untergruppen),  erscheint mir zu komplex und viel zu viele Ebenen. Ändert sich eine Gruppe (und das passiert relativ häufig) muss man wieder umkrempeln.

Reicht es da grob einzuteilen Benutzer, Server, Desktops, Aussendienst u.ä.?

Ich habe jetzt GPOs erstellt die alle betreffen und jeweils für unsere Abteilungen. Diese werden per Sicherheitsfilter selektiert, also über die Gruppenzuordnung angewandt. In der gpresult sehe ich alledrings dann in einem Abschnitt viele GPOs die nicht angewandt werden. Mich stört das jetzt nicht, aber ich denke das machen die Administratoren in der weiten Welt wahrscheinlich nicht so, oder?

 

Ich würde mich freuen wenn jemand mal sein Aufbau der OUs erklären / zeigen könnte damit ich eine Orientierung habe wie das gemacht werden sollte.

Share this post


Link to post
Share on other sites
vor 12 Minuten schrieb kaineanung:

da kann man ja auch OUs erstelle

Mit welchem Werkzeug du die erstellst ist doch egal. Kannst auch Powershell oder dsadd nehmen. Und ja in meinen Augen sollte man OUs verwenden. Eine Abbildung der Firmenhierarchie ist selten sinnvoll.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb NorbertFe:

Mit welchem Werkzeug du die erstellst ist doch egal.

Ich hätte es einfach einmal ausprobieren sollen und dieser Teil meiner Frage wäre beantwortet gewesen.

Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt. Somit hast du selbstverständlich Recht.

 

vor 9 Minuten schrieb NorbertFe:

Eine Abbildung der Firmenhierarchie ist selten sinnvoll.

Ja, das habe ich auch vermutet. Nur was soll es dann abbilden?

Reicht dann eine 'Benutzer'- und 'Server'- und 'Desktop'-OU? Vielleicht noch eine Aussendienst-OU bzw. Notebook-OU?

Wäre das eine OU-Aufteilung die man im Schnitt und so in etwa in der weiten Welt der Domänen vorfindet?

 

Ich habe das ja schon richtig verstanden das die übergeordneten OUs ihre verknüpften GPOs nach unten vererben, richtig? (Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde)?

 

 

Share this post


Link to post
Share on other sites
vor 5 Minuten schrieb kaineanung:

Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt

Der Unterschied liegt im Detail. OUs per GPMC werden nicht vor dem versehentlichen Löschen geschützt, was bei dsa.msc aber passiert.

 

vor 5 Minuten schrieb kaineanung:

Ja, das habe ich auch vermutet. Nur was soll es dann abbilden?

Das was du sinnvoll damit administrieren willst.

vor 5 Minuten schrieb kaineanung:

Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde

Ja würde man aber meist bleiben lassen, denn im Endeffekt spricht das Deaktivieren dann für schlechtes Design, IMHO. ;)

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Ich könnte ein Buch dazu empfehlen, da hab ich das glaub mehr als einmal reingeschrieben: OUs bilden nicht die Organisation des Unternehmens ab - sie dienen dazu, das AD zu organisieren. Es sind keine "Organisationseinheiten", sondern "Organisierungseinheiten" (ja, ich weiß wie b***d dieses Wort klingt :-) ).

OUs haben genau 2 Zwecke: Verlinkung von GPOs und Delegation von Berechtigungen.

Share this post


Link to post
Share on other sites

 

Moin

 

Nichts falls es nicht benötigt, aber etwas Sinn sollte es schon machen.

 

Nun, Opa erzählt mal vom Krieg. Eigentlich braucht ich es nicht wirklich, aber es gab das Bedürfnis Ordnung im  Haus, unser AD zu bringen, etwas mehr Übersicht für meinen Kollegen und Vorgesetzten. Es gab bei uns zwei Teileinheiten im Sinne von Fialie und Gebäudekomplexe, Ich schuf also für jede Teileinheit eine Computer-OU und eine User-OU, schob jeweils die Computer und User hinein. Das war es erstmal. Später kam dann tatsächlich einiges sinnvolles, möchte das heute Abend aber nicht mehr erläutern.

 

 

Edited by lefg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...