none
Hilfestellung für erstellung von GPOs RRS feed

  • Frage

  • Guten Morgen Community,

    Ich bin schlicht am Verzweifeln. Ich soll für meine Firma, SB ( 30 Mitarbeiter ) eine Migration von AD 2k3R2 auf 2k8R2 vollziehen. Dazu zählt auch die Migration von den GPOs. Die Migration hab ich geschafft! Punkt für mich ;-)

    Nun kommt der schwierige Teil, die Domäne ist einfach (kurz gesagt) ne Katastrophe ... keine OU's wenige bis garkeine GPOs ... noch aus Windows Server 2k Zeiten ... seitdem, nie verändert.

    Ich möchte für das SB hier nun alles neu machen. Sinnvoll eine OU Struktur erstellen, die GPOs anpassen und suche dafür hilfe über die Community. Wenn ich hiermit fertig bin, möchte ich das ganze in ein Tutorial für andere SBs packen und ins Netz stellen. So damit vielleicht andere unerfahrene Administratoren die hilfe sinnvoll nutzen können :-)

    Ich hoffe ich kann hier die hilfe finden, die ich suche. Zu Anfang habe ich mir eine Testdomäne aufgebaut, von dort aus sollen später GPOs und die OUs übernommen werden.

    Daten dazu:

    - testdomaene.net
    - Struktur
          └ Domain Controllers
          └ OU -INTERN
                  └ OU - Administrator
                  └ OU - pManager
                  └ OU - TechnicalUser
                  └ OU - TempAdmin

    Da wir aufgrund der Geringen Anzahl von Mitarbeitern keine große OU struktur brauchen dachte ich mir halte es simple. ProjectManager in pManager. Technische User in TechnicalUser ... und meine Temporären Admins in TempAdmin. Für die TempAdmin habe ich mir ein Webinterface geschrieben, welches Automatisch einen AD Account anlegt der 1h Gültigkeit hat. Abends wird die Gruppe dann geleer ( so der Plan ).

    Nun möchte ich mit der ersten GPO Anfangen. Dazu möchte ich den Usern ( allen in der OU - Intern ), das sie die möglichkeit haben RDP-Verbindungen aufzubauen. Aber nur die Domäne-Admins dürfen auf den DC und die Server zugreifen. Was muss ich dafür machen, um das zu Realisieren?

    Bin über jede hilfe/tipps/kritiken Dankbar.

    Gruß

    Donnerstag, 8. Mai 2014 11:45

Antworten

Alle Antworten

  • Hi,

    Am 08.05.2014 13:45, schrieb Rnd1337:

    Ich möchte für das SB hier nun alles neu machen.

    Die Trennung der Benutzer in OUs ist unnötig, sie haben doch dieselben Regel was Office, IE oder das OS betrifft.
    Laufwerksmapping ist immer schon eine Sache anhand von Sicherheitsgruppen gewesen.

    Nimm den SBS als Vorbild:
    Domäne.net
     - Meine Firma
        - Benutzer
        - Gruppen
        - Computer
        - Server

    alle andere, wie im Orginal, fertig.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 8. Mai 2014 15:29
  • Hallo,

    in deinem Falle würde ich das auch wirklich einfach halten.

    Was aber nicht schaden kann, schau dir einmal die verschiedenen Beispiele von Alan an:

    http://www.grouppolicy.biz/2010/07/best-practice-active-directory-structure-guidelines-part-1/

    http://www.grouppolicy.biz/2010/07/best-practice-group-policy-design-guidelines-part-2/?relatedposts_exclude=1375


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 8. Mai 2014 22:15
    Beantworter
  • Vielen Dank für deine Antwort. Keep it Simple and Stupid ist hier wohl die aussage ;-)
    Mir gefällt der Vorschlag eigentlich ziemlich gut. Meine frage dazu ist aber, wieso trennt man per OU nicht die Administratoren von dem Rest der User? Oder mach ich das später per Gruppen?

    In die OU Server soll ich dann auch den DC Packen? Oder soll ich den einfach unangetastet lassen?
    Gibt es eine alternative möglichkeit sinnvoll die Laufwerke zu mappen? Wenn nicht über die GPOs?

    Ich bin wirklich neu auf dem Thema, man verzeihe mir meine vllt dämlichen fragen.

    Freitag, 9. Mai 2014 07:13
  • Am 09.05.2014 09:13, schrieb Rnd1337:

    Meine frage dazu ist aber, wieso trennt man per OU nicht die
    Administratoren von dem Rest der User?

    Sind sie doch, die Admins liegen in orginal "Users" oder bau halt noch
    eine "Admin" OU.

    In die OU Server soll ich dann auch den DC Packen?

    Nein, der bleibt natürlich wo er ist, den könnte man auch nur in eine OU
    unterhalb der DomainControllers verschieben.

    Gibt es eine alternative möglichkeit sinnvoll die Laufwerke zu
    mappen? Wenn nicht über die GPOs?

    Script.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 9. Mai 2014 07:25
  • Super dankeschön, das hab ich nun gemacht :-)

    Nun dann zu meiner eigentlichen Aufgabe den erstellen von GPOs.
    Ich hab durch die Testinstallation eine sauber installation, nun möchte ich also meine erste GPO erstellen. "RPD User" nenn ich sie. Sie soll ermöglichen, das die User die funktion RPD benutzen können. Da wir hier viel extern auf Rechnern arbeiten, ist das eine notwendigkeit das meine Kollegen auf die externen Rechner zugreifen können.

    Dazu habe ich wie unten zu sehen  die einstellungen vorgenommen. Den User "Jdoe" in die Gruppe RDPUser verschoben und den Rechner "Kari" in die Gruppe Computer. Meine Domain ist nun wie folgt aufgebaut.

    Testdomaene.net
    └ Universitaetstr
           └ Admin
                  └ JDoeAD
           └ Benutzer
                  └ JDoe
           └ Computer
                  └ KARI
           └ Gruppen
                  └ RDPUser
           └ Server
                   └ WinServer

    http://imgur.com/WCiES7S
    http://cssdesk.com/vR3r7

    Vergessen zu erwähnen, es funktioniert nicht :-/


    • Bearbeitet Rnd1337 Freitag, 9. Mai 2014 08:07
    Freitag, 9. Mai 2014 07:55
  • Hmm, nun funktioniert es O_o nachdem ich gerade nochmal Probiert habe. Hab aber doch vorhin nen gpupdate /force /wait:0 gemacht habe.

    Die GPOs sollten doch danach direkt verteilt werden oder? O_o

    Mal schauen, wie sich das weiter entwickelt.

    Folgende Struktur bleibt :

    Testdomaene.net
    └ Universitaetstr
           └ Admin
                  └ JDoeAD [Nutzer]
           └ Benutzer
                  └ JDoe [Nutzer]
           └ Computer
                  └ KARI [Rechner]
           └ Gruppen
                  └ RDPUser    [Gruppe]
                  └ RDPAdmin  [Gruppe]
           └ Server
                   └ WinServer [Server]

    Habe also nun noch eine 2 GPO erstellt, hat eigentlich die selben berechtigungen wie auch RDPUser nur das ich dort die Gruppe RDPAdmin bei den eingeschränkten Gruppen stehn habe. Die GPO hab ich dann in die OU Server verknüpft.

    Nun meine frage, wieso können die User der Gruppe RDPUser, wie auch RDPAdmin auf den Server zugreifen? OBWOHL! Ich ja nur die RDPAdmin in den eingeschränkten nutzern stehen habe?

    Freitag, 9. Mai 2014 12:03
  • Lösung gefunden ...

    RDPAdmin darf nicht den Member "Domain User" enthalten. Scheint Sinnvoll zu sein. Dann hätte ich das soweit ja schon mal erledigt. Gibt es noch Sinnvolles GPOs die man in einem SB verteilen kann?

    Gruß

    Freitag, 9. Mai 2014 12:22
  • RDPAdmin darf nicht den Member "Domain User" enthalten.

    Ich vermute du meinst "Domain Users".
    In dieser "Gruppe" sind alle Domänenbenutzer enthalten.

    Schau dir einmal das Thema SOM an, das sollt einige Fragen klären :-)

    http://matthiaswolf.blogspot.de/2013_03_01_archive.html

    PS:

    gpupdate /force brauchst in der Regel nur dann, wenn ohnehin etwas schief läuft


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 9. Mai 2014 17:32
    Beantworter
  • Am 09.05.2014 14:22, schrieb Rnd1337:

    Gibt es noch Sinnvolles GPOs die man in einem SB verteilen kann?

    - RDP auf allen Rechner anschalten
    - IE / Office Erstausführung-Wizard absschalten
    - Explorer Ansichten / Dateiendungen
    - Powerschema
    ....

    Tausende, aller nach persönlicher Vorliebe.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 12. Mai 2014 09:02