none
Gruppenrichtlinienvererbung deaktiveren oder gehts auch anders ? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Wir setzen Windows 2003 SP2 ein. Wir haben eine OU Memmingen. Darunter eine OU Benutzer. Darunter eine OU CAD Hier ist das Richtlinienobjekt "Office 2003" und "CAD-User" verknüpft. Unter der OU Benutzer gibt es auch eine OU Verwaltung. Hier sind die Richtlinien Objekte "Office 2003" und "Workstation User" verknüpft. Diese Richtlinien werden auf die unter der OU Verwaltung liegenden weiteren OU's vererebt.

    Ich würde gerne die OU CAD in die OU Verwaltung verschieben. In der OU CAD darf dann aber nicht die Richtlinie "Workstation User" vererbt werden, sondern es

    muss die Richtlinie CAD-User gelten.
    Geht das nur, in dem ich dann in der OU CAD die Vererbung deaktiviere, aber dann kann muss ich ja wieder die Richtlinie "Office 2003" der OU CAD zuweisen.

    Vielen Dank.

    Christian

    Dienstag, 15. Juni 2010 14:25
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    "schwarzchr" schrieb
    Hi,

    Ich will das Konstrukt auflösen, weil wir z.B. bei einem Gerät eine LDAP
    Abfrage machen. Damit ich die Abfrage auf die Benutzer machen kann gehe
    ich momentan auf die OU Benutzer. Unter dieser OU gibt es dann die anderen
    diversen OUs, darunter die OU System, die sollte bei der LDAP-Abfrage nicht
    erscheinen. Ausserdem gehören die OU CAD und IUK und MOBIL
    organisatorisch auch zur Verwaltung.

    Ich versuche unser Konstrukt mal darzustellen:

    Domäne stadt-memmingen.intern (GPO Default Domain Policy)
      OU Memmingen
            OU Benutzer
                 OU CAD (GPO CADUser und GPO Office2003)
                 OU IUK  (GPO IUKUser und GPO Office2003)
                 OU MOBIL (GPO MobilUser und GPO Office2003)
                 OU Verwaltung (GPO WorkstationUser und GPO Office2003)
            OU Server
            OU Workstation

    Dann wäre es doch aber sinnvoller entweder deine LDAP Abfrage anzupassen oder die anderen OUs eventuell rauszunehmen. Nur weil die OU CAD usw. auch zur Verwaltung gehören muß man das noch lange nicht im AD entsprechend so darstellen. Der Verzeichnisdienst ist nunmal kein Organigramm. ;) So oder so ändert das aber nichts an den Aussagen von Mark und mir.

    Bye
    Norbert

    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Mittwoch, 16. Juni 2010 07:11
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    HI,

    Am 16.06.2010 08:56, schrieb schwarzchr:

    Unter dieser OU gibt es dann die anderen diversen OUs, darunter die
    OU System, die sollte bei der LDAP-Abfrage nicht erscheinen.
    Ausserdem gehören die OU CAD und IUK und MOBIL organisatorisch auch
    zur Verwaltung.

    Ich fall Norbert mal nicht in den Rücken, sondern stärke ihn.
    Dein ISO9000 Organigram hat nichts, aber auch garnichts mit
    dem AD zu tun.

    Das AD sortiert man nach Sicherheitsbereichen und Verwaltung.
    Also am Ende nach GPOs und AD Delegation.

    Wenn die OU SYSTEM nichts sichtbar sein soll, dann gehört sie schlicht
    und ergreifend nicht in die sichtbare Hirarchie. Sie stellt einen
    eigenen Sicherheitsbereich dar. Und damit bist du wieder bei der
    vorherigen Aussage gelandet:

    Das AD sortiert man nach Sicherheitsbereichen und Verwaltung.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 16. Juni 2010 08:36
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    "schwarzchr" schrieb
    Hi,

    Wir setzen Windows 2003 SP2 ein. Wir haben eine OU Memmingen. Darunter eine
    OU Benutzer. Darunter eine OU CAD Hier ist das Richtlinienobjekt "Office
    2003" und "CAD-User" verknüpft. Unter der OU Benutzer gibt es auch eine OU
    Verwaltung. Hier sind die Richtlinien Objekte "Office 2003" und
    "Workstation User" verknüpft. Diese Richtlinien werden auf die unter der OU
    Verwaltung liegenden weiteren OU's vererebt.

    Ich würde gerne die OU CAD in die OU Verwaltung verschieben. In der OU CAD
    darf dann aber nicht die Richtlinie "Workstation User" vererbt werden,
    sondern es

    muss die Richtlinie CAD-User gelten.
    Geht das nur, in dem ich dann in der OU CAD die Vererbung deaktiviere, aber
    dann kann muss ich ja wieder die Richtlinie "Office 2003" der OU CAD
    zuweisen.

    Warum willst du die OU denn verschieben? Das bisherige Konstrukt hört sich doch eigentlich vernünftig an. Alles andere wird wie du selbst gerade feststellst entweder mit Vererbung aufheben oder aber mit Sicherheitsfilterung verbunden sein. und beides ist nicht das, was übersichtlich bleibt. Wenn du es dann aber tun willst/mußt, dann wirst du mittels Sicherheitsfilterung mehr Spaß haben, denn Vererbung deaktivieren verpeilt man häufiger mal. ;)

    Bye
    Norbert

    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Dienstag, 15. Juni 2010 14:50
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 15.06.2010 16:25, schrieb schwarzchr:

    Ich würde gerne die OU CAD in die OU Verwaltung verschieben. In der
    OU CAD darf dann aber nicht die Richtlinie "Workstation User" vererbt
    werden, sondern es muss die Richtlinie CAD-User gelten.

    Ich habe dein Konstrukt nicht verstanden, aber ich würde mit
    Sicherheitsgruppen lösen.

    OU Benutzer
     - darunter eine Struktur wie auch immer sie sein mag
     - an dieser OU x Millionen GPO Objekte
     GPO CAD
        -> Delegieren -> Erweitert
           -> Auth. Benutzer "übernehmen" entfernen
           -> SiGruppe CAD (vorher erstellen) "übernehmen" hinzufügen
     GPO Office
           -> Auth. Benutzer "übernehmen" bleibt
     GPO User
        -> Delegieren -> Erweitert
           -> Auth. Benutzer "übernehmen" entfernen
           -> SiGruppe User (vorher erstellen) "übernehmen" hinzufügen

    Jetzt ist es nur noch einen Frage, welcher User in welcher SiGruppe
    steckt.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 15. Juni 2010 15:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich will das Konstrukt auflösen, weil wir z.B. bei einem Gerät eine LDAP Abfrage machen. Damit ich die Abfrage auf
    die Benutzer machen kann gehe ich momentan auf die OU Benutzer. Unter dieser OU gibt es dann die anderen
    diversen OUs, darunter die OU System, die sollte bei der LDAP-Abfrage nicht erscheinen. Ausserdem gehören die
    OU CAD und IUK und MOBIL organisatorisch auch zur Verwaltung.

    Ich versuche unser Konstrukt mal darzustellen:

    Domäne stadt-memmingen.intern (GPO Default Domain Policy)
      OU Memmingen
            OU Benutzer
                 OU CAD (GPO CADUser und GPO Office2003)
                 OU IUK  (GPO IUKUser und GPO Office2003)
                 OU MOBIL (GPO MobilUser und GPO Office2003)
                 OU Verwaltung (GPO WorkstationUser und GPO Office2003)
            OU Server
            OU Workstation

     

    Ich hoffe jetzt ist es klarer.

    Vielen Dank für Eure wie immer professionelle Hilfe

    Christian

    Mittwoch, 16. Juni 2010 06:56
    |
  • Question
    Anmelden
    0
    Anmelden

    "schwarzchr" schrieb
    Hi,

    Ich will das Konstrukt auflösen, weil wir z.B. bei einem Gerät eine LDAP
    Abfrage machen. Damit ich die Abfrage auf die Benutzer machen kann gehe
    ich momentan auf die OU Benutzer. Unter dieser OU gibt es dann die anderen
    diversen OUs, darunter die OU System, die sollte bei der LDAP-Abfrage nicht
    erscheinen. Ausserdem gehören die OU CAD und IUK und MOBIL
    organisatorisch auch zur Verwaltung.

    Ich versuche unser Konstrukt mal darzustellen:

    Domäne stadt-memmingen.intern (GPO Default Domain Policy)
      OU Memmingen
            OU Benutzer
                 OU CAD (GPO CADUser und GPO Office2003)
                 OU IUK  (GPO IUKUser und GPO Office2003)
                 OU MOBIL (GPO MobilUser und GPO Office2003)
                 OU Verwaltung (GPO WorkstationUser und GPO Office2003)
            OU Server
            OU Workstation

    Dann wäre es doch aber sinnvoller entweder deine LDAP Abfrage anzupassen oder die anderen OUs eventuell rauszunehmen. Nur weil die OU CAD usw. auch zur Verwaltung gehören muß man das noch lange nicht im AD entsprechend so darstellen. Der Verzeichnisdienst ist nunmal kein Organigramm. ;) So oder so ändert das aber nichts an den Aussagen von Mark und mir.

    Bye
    Norbert

    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Mittwoch, 16. Juni 2010 07:11
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    HI,

    Am 16.06.2010 08:56, schrieb schwarzchr:

    Unter dieser OU gibt es dann die anderen diversen OUs, darunter die
    OU System, die sollte bei der LDAP-Abfrage nicht erscheinen.
    Ausserdem gehören die OU CAD und IUK und MOBIL organisatorisch auch
    zur Verwaltung.

    Ich fall Norbert mal nicht in den Rücken, sondern stärke ihn.
    Dein ISO9000 Organigram hat nichts, aber auch garnichts mit
    dem AD zu tun.

    Das AD sortiert man nach Sicherheitsbereichen und Verwaltung.
    Also am Ende nach GPOs und AD Delegation.

    Wenn die OU SYSTEM nichts sichtbar sein soll, dann gehört sie schlicht
    und ergreifend nicht in die sichtbare Hirarchie. Sie stellt einen
    eigenen Sicherheitsbereich dar. Und damit bist du wieder bei der
    vorherigen Aussage gelandet:

    Das AD sortiert man nach Sicherheitsbereichen und Verwaltung.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 16. Juni 2010 08:36
    |