Gruppen in OUs

[-nin 11]

Hallo,

 

ich wage mich gerade an das Thema OU und habe mal eine Frage bzw. ein Problem.

Ich hab' im AD eine OU mit dem Namen IESperrtest erstellt. Darin das Gruppenrichtlinienobjekt IERestrict.

Darin wiederum, habe ich festgelegt, dass die Tab "Verbindungen" im IE unter Internetoptionen ausgeblendet werden soll.

 

Jetzt mein Problem.

Damit die Richtlinie zieht muss ich den Benutzer von users in die OU verschieben.

Das fand ich nicht so schön.

Also habe ich eine globale Gruppe "Internet beschränkt" in der OU angelegt und den Benutzer als Mitglied der Gruppe gemacht.

Leider zieht dann die Richtlinie nicht mehr und die Verbindungs-Tab ist wieder da.

 

Warum? und wie kann ich das lösen, oder geht das prinzipiell nicht?

 

PS: Zur Hintergrundinfo: Der User steckt in der Gruppe Domänen-Benutzer, und von uns definierten Gruppen, wie Fertigungsleitung, Verwaltung, Fertigung, WWS etc.

 

Danke für Eure Hilfe,

 

-nin

[dadadum 10]

Eine möglichkeit wäre eine unter OU in Users zu erstellen, die GPO darauf zu linken und den benutzer dort reinzutun. Hätte da Ergebniss dass der benutzer sowohl deine IE richtlinie als auch die Users richtlinien vererbt bekommt.

[Ritchie 10]

Hallo

 

es ist nicht möglich, einer Gruppe ein Gruppenrichtlinienobjekt (GPO) zuzuordnen. Das geht nur über OU, Standorte oder Domänen.

Aber Du kannst es so machen, wie mein Vorredner vorgeschlagen hat

 

Gruss

Ritchie

[MacBoon 10]

Hallo,

 

baut nicht zuviel OU´s. Diese sind unflexibel und machen vieles unübersichtlich.

Ich arbeite viel mit Gruppen.

Diesen Gruppen gebe ich dann bei Bedarf das recht GPO auszuführen. Damit kann ich GPO´s auf meine erste OU legen und kann eine flache Hierachie erstellen.

 

Gruß MacBooon

[Velius 10]

Eine möglichkeit wäre eine unter OU in Users zu erstellen, die GPO darauf zu linken und den benutzer dort reinzutun. Hätte da Ergebniss dass der benutzer sowohl deine IE richtlinie als auch die Users richtlinien vererbt bekommt.

 

 

Sollte das nicht klappen aufgrund des OU Designs, dann kann man als letzte Möglichkeit noch auf Delegierung/Richtlinien Filterung zurückgreiffen. Da kann man dann nur dieser Gruppe "Richtlinie übernehmen" erteilen. Allerdings sollte man sparsam mit solchen Einstellungen umgehen.

 

 

Gruss

Velius

 

 

Edit: @MacBoon

 

Genau damit machst du aber die Richtlinien am unübersichtlichsten!

[-nin 11]

Eine möglichkeit wäre eine unter OU in Users zu erstellen, die GPO darauf zu linken und den benutzer dort reinzutun. Hätte da Ergebniss dass der benutzer sowohl deine IE richtlinie als auch die Users richtlinien vererbt bekommt.

Hallo, danke für Deine Antwort, aber wenn ich auf users rechtsklicke und Neu wähle, habe gar keine Möglichkeit mehr eine Organisationseinheit zu erstellen.

 

Dann dachte ich meine zuvor erstellte OU in users zu verschieben, aber dann kam angehängte Meldung.

 

Gruß, -nin

[MacBoon 10]

Hallo

 

@ Velius

 

Irgendwas wird immer unübersichtlich. Aber mit OU´s bin ich nie so flexibel wie mit Gruppen. Und für die GPO´s gibt es ja die GPMC :D :.

 

Aber kommt darauf an, wie man die GPO´s nutzen will.

Wir filtern sehr stark nach den jeweiligen Bedürfnissen der Usern und könnten das mit OU´s nicht mehr lösen

 

 

Gruß MacBoon

[dadadum 10]

Kann es sein dass du den Default Container "Users" verwendest.

Darunter kann man nämlich keine OU´s anlegen (zumindest Standartmäßig nicht vielleicht gibt es einen Wourkaround oder so is mir aber nicht bekannt)

 

Wenn du deine Benutzer in eine Andere OU Verfrachtest sollte das funktioniern.

[-nin 11]

Kann es sein dass du den Default Container "Users" verwendest.

Darunter kann man nämlich keine OU´s anlegen (zumindest Standartmäßig nicht vielleicht gibt es einen Wourkaround oder so is mir aber nicht bekannt)

 

Wenn du deine Benutzer in eine Andere OU Verfrachtest sollte das funktioniern.

 

Ja, der users Container, der direkt mit der Serverinstallation angelegt wird. Also dann werde ich wohl keine andere Wahl haben, als den User in die OU zu verschieben.

 

Gruß und danke, -nin

[Velius 10]

.... als den User in die OU zu verschieben.

 

Gruß und danke, -nin

 

 

Du hats den Thread nicht richtig gelesen.... :wink2:

 

Erstell auf dem Top-Level eine neue OU und bilde darin deine Organisation/Hirarchie ab.

[dadadum 10]

Erstell auf dem Top-Level eine neue OU und bilde darin deine Organisation/Hirarchie ab.

 

 

so wars gedacht ;)

[Lifeforce 10]

Dadadum har recht. Die Standardcontainer (und dazu gehört der Container users) sind nicht weiter unterteilbar.

 

Gruppenrichtlinienobjekte können mit den Containern Standort, Domäne und Organisationseinheit verknüpft werden und wirken nur auf die darin enthaltenen Endobjekte: Computerrichtlinien auf die Computer, Benutzerrichtlinien auf die Benutzer. Dabei muss natürlich auf die Anwendungs- und Vererbungsreihenfolge geachtet werden.

 

In der Regel wird ein den Unternehmensrichtlinien entsprechendes Organisationseinheitenmodell entworfen, welches als Ziel hat, die Verwaltung der Computer und Benutzer entsprechend zu vereinfachen. Dazu werden die Benutzer und Computer entsprechend in den Organisationseinheiten aufgenommen. Mittels der Gruppenrichtlinien können nun die Arbeitsumgebungen der Benutzer auf ihren Computern automatisiert eingerichtet und verwaltet werden.

 

Gruppen verfolgen ein anderes Ziel: sie dienen auf der einen Seite zum Organisieren von Benutzern nach bestimmten Kriterien, zum anderen werden sie dazu verwendet, in Zugriffssteuerungslisten (z.B. Freigabe, NTFS) ihre Mitglieder mit den definierten Berechtigungen zu versorgen.

 

Obwohl Gruppenrichtlinien Gruppenrichtlinien heißen, können sie nicht auf Gruppen. sondern nur auf die in den Containern enthaltenen Endobjekte angewendet werden.

[MacBoon 10]

Hallo Lifeforce,

 

natürlich können GPO auf nicht auf Gruppen angewendet werden, aber ich kann für die Berechtigungen der GPO Gruppen verwenden.

Hat den Vorteil, das ich GPO´s zentral ausrollen kann und das Recht zum ausführen fein einstellen kann.

 

Gruß macboon

[Lifeforce 10]

... aber ich kann für die Berechtigungen der GPO Gruppen verwenden.

Gruß macboon

Komisch, und ich dachte, ich hätte geschrieben, dass Gruppen für Berechtigungen herangezogen werden ... ;)

[-nin 11]

Danke für die vielen Antworten.

Ich habe hier im Betrieb mit einem stehenden AD angefangen. Alle user und Gruppen sind im Ordner users eingegeben, hier gibt es überhaupt keine OUs, meine ist die erste.

 

Da sich mein Stellvertreter (Chef) wahrscheinlich gegen eine Neustrukturierung sperren wird, hatte ich gedacht, dass es mit der Gruppe inder OU und dem User im Ordner users noch eher dem Urzustand entspricht.

 

Gruß, -nin