Jump to content

Wie und wo strukturiert man am besten OUs?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

da wir bisher mit der AD relativ wenig zu tun hatten und mit GPOs fast gar nichts (ausser die Kennwortrichtlinie in W2K3 in der Default Domain Policy), stehe ich vor der Frage ob man OUs benötigt, wie die am besten aufgebaut sind und vor allem ob ich diese in der AD oder in dem Gruppenrichtlininen.Editor (da kann man ja auch OUs erstellen)?

 

Ich habe die auf gruppenrichtlininen.de die Anleitung 'Erstellen einer Gruppenrichtlinie' gerade angefangen zu lesen und dort steht man soll als allererstes OUs erstellen (Meine Benutzer und Meine Computer).

So wie ich das lese, wird dort von der AD geredet, als Bildbeispiel ist aber der Gruppenrichtlinien-Editor zu sehen. Das ist aber nicht das Selbe, oder?

Und wenn es das nicht ist: was ist der Unterschied und wo soll man es anlegen?

 

Die andere Frage ist: wie soll ich die Struktur am besten anlegen? Firmenhierarchie (Abteilungen -> Teams -> Gruppen -> Untergruppen),  erscheint mir zu komplex und viel zu viele Ebenen. Ändert sich eine Gruppe (und das passiert relativ häufig) muss man wieder umkrempeln.

Reicht es da grob einzuteilen Benutzer, Server, Desktops, Aussendienst u.ä.?

Ich habe jetzt GPOs erstellt die alle betreffen und jeweils für unsere Abteilungen. Diese werden per Sicherheitsfilter selektiert, also über die Gruppenzuordnung angewandt. In der gpresult sehe ich alledrings dann in einem Abschnitt viele GPOs die nicht angewandt werden. Mich stört das jetzt nicht, aber ich denke das machen die Administratoren in der weiten Welt wahrscheinlich nicht so, oder?

 

Ich würde mich freuen wenn jemand mal sein Aufbau der OUs erklären / zeigen könnte damit ich eine Orientierung habe wie das gemacht werden sollte.

Link zu diesem Kommentar
vor 7 Minuten schrieb NorbertFe:

Mit welchem Werkzeug du die erstellst ist doch egal.

Ich hätte es einfach einmal ausprobieren sollen und dieser Teil meiner Frage wäre beantwortet gewesen.

Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt. Somit hast du selbstverständlich Recht.

 

vor 9 Minuten schrieb NorbertFe:

Eine Abbildung der Firmenhierarchie ist selten sinnvoll.

Ja, das habe ich auch vermutet. Nur was soll es dann abbilden?

Reicht dann eine 'Benutzer'- und 'Server'- und 'Desktop'-OU? Vielleicht noch eine Aussendienst-OU bzw. Notebook-OU?

Wäre das eine OU-Aufteilung die man im Schnitt und so in etwa in der weiten Welt der Domänen vorfindet?

 

Ich habe das ja schon richtig verstanden das die übergeordneten OUs ihre verknüpften GPOs nach unten vererben, richtig? (Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde)?

 

 

Link zu diesem Kommentar
vor 5 Minuten schrieb kaineanung:

Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt

Der Unterschied liegt im Detail. OUs per GPMC werden nicht vor dem versehentlichen Löschen geschützt, was bei dsa.msc aber passiert.

 

vor 5 Minuten schrieb kaineanung:

Ja, das habe ich auch vermutet. Nur was soll es dann abbilden?

Das was du sinnvoll damit administrieren willst.

vor 5 Minuten schrieb kaineanung:

Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde

Ja würde man aber meist bleiben lassen, denn im Endeffekt spricht das Deaktivieren dann für schlechtes Design, IMHO. ;)

bearbeitet von NorbertFe
Link zu diesem Kommentar

Ich könnte ein Buch dazu empfehlen, da hab ich das glaub mehr als einmal reingeschrieben: OUs bilden nicht die Organisation des Unternehmens ab - sie dienen dazu, das AD zu organisieren. Es sind keine "Organisationseinheiten", sondern "Organisierungseinheiten" (ja, ich weiß wie b***d dieses Wort klingt :-) ).

OUs haben genau 2 Zwecke: Verlinkung von GPOs und Delegation von Berechtigungen.

Link zu diesem Kommentar

 

Moin

 

Nichts falls es nicht benötigt, aber etwas Sinn sollte es schon machen.

 

Nun, Opa erzählt mal vom Krieg. Eigentlich braucht ich es nicht wirklich, aber es gab das Bedürfnis Ordnung im  Haus, unser AD zu bringen, etwas mehr Übersicht für meinen Kollegen und Vorgesetzten. Es gab bei uns zwei Teileinheiten im Sinne von Fialie und Gebäudekomplexe, Ich schuf also für jede Teileinheit eine Computer-OU und eine User-OU, schob jeweils die Computer und User hinein. Das war es erstmal. Später kam dann tatsächlich einiges sinnvolles, möchte das heute Abend aber nicht mehr erläutern.

 

 

bearbeitet von lefg
Link zu diesem Kommentar
  • 2 Wochen später...

Wie gesagt, meiner Meinung nach kommt es immer Auf das Unternehmen an.

Manchmal ist es sinnvoll, manchmal vielleicht nicht.

 

Bei uns sind die Abteilung-OUs mit den Benutzern getrennt von den Computer-OUs.

 

Auf die Frage zurück zu kommen:

Bei Gruppenrichtlinien gibt es immer Benutzer- und Computer-Richtlinien.

Eine Computer-Richtlinie wird also nie auf eine Abteilungs-OU angewendet.

 

Ich erstelle also eine OU (die es meist schon gibt) in der alle Computer-Objekte beinhaltet sind.

Hier kann ich dann eine neue Computer-Cruppenrichtlinie erstellen und dieser OU zuweisen.

Link zu diesem Kommentar

Das Organigram abzubilden ist meistens kontraproduktiv.

Ein Organigram definiert Unterstellungsverhältnisse. Die OUs bilden eine technische Sicht auf das Unternehmen ab. Die Namen der OUs können durchaus mit den Abteilungen korrespondieren, aber die Verschachtelung wird eine andere sein.

bearbeitet von tesso
Link zu diesem Kommentar
vor 1 Minute schrieb lefg:

 

Und wofür soll das gut sein?

Naja, per Gruppenrichtlinie kann man alles machen.

Bildschirmschoner verteilen, Registry Werte setzen, etc.

 

In meinem Fall habe ich mehrere Gesellschaften, welche unterschiedliche Bildschirmschoner benötigen.

Da ich die Gesellschaften in verschiedene OU´s habe, ist es für mich ein Kinderspiel die korrekten Settings zu verteilen.

Link zu diesem Kommentar
vor 41 Minuten schrieb joehuabe:

Da ich die Gesellschaften in verschiedene OU´s habe,

Ich glaube wir meinen alle das Gleiche. Es bleibt halt dabei, dass "kein" Organigramm die Vorlage sein sollte, sondern die Anforderungen definieren die OU Struktur. Dabei kann durchaus auch ein Organigramm-ähnliches Konstrukt rauskommen, meist ist das aber weder notwendig noch wirklich hilfreich.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...