OU und Group Policys

[phazer 10]

hi.

 

 

ich mach die ganze sache noch nicht wirklich lang und hab von daher eventuell eine etwas daehmliche frage.

 

 

windows 2k sp4 und ad:

 

habe hier in meiner domaine eine OU("DomainUsers") mit allen usern drin.

ich kann zwar fuer diese OU diverse policys zuweissen aber das gilt ja dann immer nur fuer alle user in der OU("DomainUsers")!

 

jetzt hab ich aber nen user in der domain der noch nen paar extra policys bekommen soll.

 

im moment hab ich das so geloesst das nun die main OU("DomainUsers") noch eine OU("SpecialNeeds") angelegt ist der ich nun extra policys zuweissen kann.

"SpecialNeeds" bekommt ja nun die policys der "DomainUsers" vererbt. zusaetzlich die policys die ich "SpecialNeeds" zuweisse.

funktioniert erstemal ganz gut soweit!

 

meine frage ist, geht das irgendwie nen bisschen schicker oder kann man das ueberhaupt anders machen?

 

remember, im a newbie auf dem admin sector ;)

 

 

 

 

gruesse aus berlin

 

phazer

[Red Sector 10]

Du hast das ziemlich Lehrbuchmäßig gelöst!

Alle anderen Lösungen wären zweitklassig. Gehen würde u. a. folgendes:

 

- Der OU DomainUsers die Spezialpolicy zuweisen.

- In den Rechten Der Gruppenrichtlinie (nicht der OU!) nimmst Du der Gruppe "Authentifizierte Benutzer" das Recht "Gruppenrichtlinie übernehmen" weg und fügst es Deinem SpezialUser hinzu. Fertig. Die neue Gruppenrichtlinie wird jetzt für diesen Benutzer gefiltert.

 

RS

 

PS:

 

gruesse aus berlin

Dann sind wir ja gerade gar nicht so weit auseinander :D

[DAMACHINE 10]

hi

wenn du meheren benutzern extra rechte geben/nehmen willst arbeite lieber mit gruppen statt mit benutzern kleiner tipp is übersichtlicher

[Der Newbie 10]

Bin wieder verwirrt.

 

was ist denn der Unterschied zwischen gruppen und OU?

[Der Newbie 10]

Original geschrieben von Red Sector

Die neue Gruppenrichtlinie wird jetzt für diesen Benutzer gefiltert.

 

Mal ne Frage:

 

AD

 

Die Domäne hat eine Gruppenrichtlinie Domain Policy

 

Der Controller hat eine Gruppenrichtlinie Domain Controller Policy

 

Der Ordner User (Standart von MS) hat keine seperate Richtlinie

 

Ich lege jetzt in der Domäne eine neue OU an, der ich

 

a) Eine der bestehenden Richtlinien gebe (DP oder DCP)

 

b) Ich erstelle eine Richtlinie anhand der Sicherheitsvorlagen

 

c) Ich lasse es frei

 

 

Wie sollte man hier rangehen?

 

Wie sollte ich das machen, wenn in der neuen OU z.Bsp. 98% aller Richtlinien der DP gelten soll, und nur zwei drei oder vier Richtlinien anders sein sollen?

 

bin echt kein Kenner von diesen Richtlinien....

 

gruss newbie

[Red Sector 10]

Du machst es, genauso, wie Du es gemacht hast.

 

Die DP wird auf die neue OU vererbt. GPOs auf diese OU werden zusätzlich zur DP angewendet, im Zweifelsfall hat aber die OU-GPO Vorrang. Einige User sollen andere Einstellungen bekommen, also legst Du eine untergeordnete OU an. Hier kannst Du nun wieder eine GPO drauflegen, die dann wieder zusätzlich zu den vererbten GPOs (DP + OU-GPO) gültig wird. Auch die neue GPO hat bei Konflikteinstellungen Vorrang vor den Vererbten Einstellungen.

 

RS

[Der Newbie 10]

Danke,

 

ich habe aber hier und auch mal in der Hilfe was gelesen, das mit unterschieden von erlaubt und verbot zu tun hat.

 

ist es egal ob zum Bsp. in der DP etwas verboten ist und ich in der OU diesen Eintrag wieder erlaube? Oder hat das was mit den "Sicherheitsrichtlinien von NTFS" zu tun?

 

Von der Logik her ist es aber so, das ja zuerst die DP "gelesen" wird, dann wird ja der user gesucht, der steckt in einer OU drin und hat dort zum Beispiel die Erlaubnis bekommen die Registry zu ändern und wird damit quasi "freigeschaltet".

 

Rein praktisch bleibt jetzt noch die Vorgehensweise, wenn ich ja die DP auswähle und dort Einstellungen ändere, dann ändere ich die ja in der DP die Einstellungen.

 

Ich müsste ja ne "Kopie" von der DP anfertigen und die unter nem anderen Namen speichern und dann dort die Einstellungen ändern.

 

gruss newbie

[Red Sector 10]

Nein. Alle Einstellungen der DP werden in die OUs vererbt. Wenn Du auf eine OU jetzt noch eine GPO legst werden die Einstellungen der DP trotzdem in dieser OU gültig, bis auf das, was in der OU-GPO geändert wurde. Die OU-GPO hat Vorrang. GPOs sind kumulativ, d. h. wenn Du in der DP einstellst, dass aus dem Startmenü "Ausführen" und "Hilfe" entfernt werden und Du stellst in der OU-GPO ein, dass die Hilfe verfügbar ist, dann hat Dein User in dieser OU eine Hilfe, aber kein Ausführen.

 

 

RS

[Der Newbie 10]

Okay, jetzt ist das mit der Logik klar. Kummulativ und unterste Ebene gibt den Ton an.

 

Nur Helf mir mal für einfache Geister.

 

WEnn ich eine neue OU anlege (rechte Maus...) gebe ich ihr einen namen:

 

"besonderer nutzer"

 

wenn ich aber jetzt in den eigenschaften der OU (rechte maus..) klicke, dann ist dort ja keine Richtlinie vorhanden und ich kann jetzt klicken auf

 

NEU

 

HINZUFÜGEN

 

 

Was ist denn der Gescheitere Weg, wenn ich lediglich die Softwaresteuerung und die registryerlaubnis ändern möchte?

 

NEU klicken oder HINZUFÜGEN?

 

thanks newbie...

[Red Sector 10]

NEU.

Neu erstellt eine neue GPO.

Hinzufügen lässt Dich eine bereits bestehende GPO auswählen.

Was Du in den GPO-Eigenschaften der OUs siehst sind nicht die GPOs selber, sondern lediglich Verknüpfungen mit einer GPO. Eine bestehende GPO kann durch "Hinzufügen" mit vielen unterschiedlichen OUs verknüpft werden. Wenn es also bereits irgendwo eine GPO gibt, die genau die Einstellungen hat, die Du für eine neue OU benötigst, dann machst Du "Hinzufügen".

 

RS

[Der Newbie 10]

Jetzt wird es klar. danke! Dann ist der richtige weg wohl der, das ich in meinem Beispiel neu wähle, dann quasi als Vorlage wie bei Word die Domain Policiy wähle dann habe ich eine neue GPO mit namen "spezielle GPO" und dort sind dann alle "Schalter" gleich wie in der Domain Policy. Wenn ich jetzt die einzelnen Schalter der "Spezielle Policy" ändere, dann gelten diese Einstellungen für diese OU und meine Veränderungen wirken sich nicht auf die DP aus.

 

Voiala, genau so wird ein Schuh draus, vielen Dank.

 

 

Gibt es eigentlich noch einen Unterschied zwischen Client und Server Policies? Wenn ich am Server selber (lokal) arbeite, dann gibt es da ja ne spezielle Richtlinie namens

 

Domain Controller Policy

 

und ich habe den eindruck, das diese DCP manche einstellung der von mir angelegten OU GPO überschreibt, obwohl Vererbung eingestellt ist und nach der Logik dieses Threads das ja nicht passieren dürfte.

 

gruss newbie

[Red Sector 10]

Du kannst mit "neu" keine Vorlage wählen. Das brauchst Du auch nicht. wie schon gesagt, vererben sich die oberhalb Deiner OU befindlichen GPOs automatisch auf die unteren. Du musst nur die gewünschten Änderungen in Deiner speziellen GPO eingeben.

 

Es gibt auch keine Client oder Server Policies, sondern einfach nur Gruppenrichtlinien. Die Domain Controller Policy ist die Richtlinie, die auf der OU Domain-Controllers liegt. Sie wirkt sich auf die Domänencontroller aus. Solange Du Dich an einem solchen befindest bekommst Du auch dessen Computereinstellungen.

 

Gruß

RS

[Der Newbie 10]

Danke, werde mal ne neue Gruppe anlegen und eine neue GPO "erzeugen" und dann die Einstellungen ändern und dann berichten, ob ich das hinbekommen habe.

 

Gruss newbie