Active Directory - OU Anordnung und Aufbau
Hallo,
ich habe mal wieder einen Server vor mir wo alle User in der OU User sind, alle PC's in der OU Clients... und das wars.
GPO's wurden bisher genutzt und über Active Directory Gruppen (lese und übernahme rechte) verwaltet. Sprich es gibt unzählige AD-Gruppen für alles Mögliche...
wie könnte man das schöner / übersichtlicher gestalten?
1) pro Büro Etage eine OU und dann darunter je eine OU für Benutzer und eine für PC's?
--> aus meiner Sicht nicht so prickelnd
2) pro Team eine OU und darin je eine OU für User und eine für PC's? oder gar keine weitere Unterteilung?
--> wäre übersichtlicher als die erste Lösung denk ich...
Beispiel für den OU-Baum:
AD
--domainController
--Firma (für GPO's die auf beide Mitarbeiter Gruppen wirken sollen)
Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
Mitarbeiter_normal
TEAM1
User_TEAM1
PC's_TEAM1
TEAM2
User_TEAM2
PC's_TEAM2
TEAM3
User_TEAM3
PC's_TEAM3
usw...
--Users
3) alternativen?
Gruß und danke für input...
ich habe mal wieder einen Server vor mir wo alle User in der OU User sind, alle PC's in der OU Clients... und das wars.
GPO's wurden bisher genutzt und über Active Directory Gruppen (lese und übernahme rechte) verwaltet. Sprich es gibt unzählige AD-Gruppen für alles Mögliche...
wie könnte man das schöner / übersichtlicher gestalten?
1) pro Büro Etage eine OU und dann darunter je eine OU für Benutzer und eine für PC's?
--> aus meiner Sicht nicht so prickelnd
2) pro Team eine OU und darin je eine OU für User und eine für PC's? oder gar keine weitere Unterteilung?
--> wäre übersichtlicher als die erste Lösung denk ich...
Beispiel für den OU-Baum:
AD
--domainController
--Firma (für GPO's die auf beide Mitarbeiter Gruppen wirken sollen)
Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
Mitarbeiter_normal
TEAM1
User_TEAM1
PC's_TEAM1
TEAM2
User_TEAM2
PC's_TEAM2
TEAM3
User_TEAM3
PC's_TEAM3
usw...
--Users
3) alternativen?
Gruß und danke für input...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330940
Url: https://administrator.de/forum/active-directory-ou-anordnung-und-aufbau-330940.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
nichts für ungut bitte, aber ...
Funktioniert es? Falls ja: Finger weg!
Hast Du konkreten Bedarf, daran etwas zu ändern? Falls nein: Finger weg!
"schöner" ist kein Bedarf, es sei denn, Du hast sonst nichts zu tun, und "übersichtlicher" nur dann, wenn Du es tatsächlich übersichtlicher gestalten (also besser machen) kannst. Kannst Du's?
E.
nichts für ungut bitte, aber ...
Funktioniert es? Falls ja: Finger weg!
Hast Du konkreten Bedarf, daran etwas zu ändern? Falls nein: Finger weg!
"schöner" ist kein Bedarf, es sei denn, Du hast sonst nichts zu tun, und "übersichtlicher" nur dann, wenn Du es tatsächlich übersichtlicher gestalten (also besser machen) kannst. Kannst Du's?
E.
Hallo,
Eine Unterteilung macht eh nur dann Sin, wenn es Unterschiedliche Anforderungen bei den GPO gibt.
Wenn Du es struktorieren willst dann eine immer eine Ober OU Computer und Benutzer auf wo dann immer alle GPO verlinkt werden die für alle ohne Ausnahme gelten.
Wenn es in den ganzen GPO immer wieder Ausnamen für xyz gibt, läuft was falsch.
Ansonsten, wenns so funktioniert las es so
Gruß
Chonta
Ziel soll eine logische Struktur sein in der der User in weniger Gruppen eingetragen werden muss
Dann musst Du Dir erstmal einen Überblick verschaffen was die GPO machen und warum die auf auf Personenkreis X gefiltert wurden.Eine Unterteilung macht eh nur dann Sin, wenn es Unterschiedliche Anforderungen bei den GPO gibt.
-Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
die gibt es nicht, da Domaiweite GPO eh wirken und die Defaults auch.Wenn Du es struktorieren willst dann eine immer eine Ober OU Computer und Benutzer auf wo dann immer alle GPO verlinkt werden die für alle ohne Ausnahme gelten.
Wenn es in den ganzen GPO immer wieder Ausnamen für xyz gibt, läuft was falsch.
Ansonsten, wenns so funktioniert las es so
Gruß
Chonta
OK.
OU-Struktur und Gruppenmitgliedschaft haben nichts, aber auch gar nichts miteinander zu tun.
Zuerst solltest Du feststellen, welche Gruppe welchen Zweck erfüllt. Ein paar Stichpunkte:
OU-Struktur hilft Dir evtl. beim Zuordnen der GPO. Also dass Du hier evtl. die eine oder andere Gruppe sparst, welche nur für die Filterung von GPO verwendet wird, die Filterung aber jetzt durch Organisation in OU's und Zuweisung der GPO zu den jeweiligen OU's erfolgt. Beachte aber auch hier, dass das dann u.U. im Bereich der GPO unübersichtlicher werden kann. Hier solltest Du eh nur "rumfummeln", wenn Du die Mechanismen der GPO-Verarbeitung aus dem FF kennst.
OU-Struktur und Gruppenmitgliedschaft haben nichts, aber auch gar nichts miteinander zu tun.
Zuerst solltest Du feststellen, welche Gruppe welchen Zweck erfüllt. Ein paar Stichpunkte:
- Verwendung in NTFS- oder Freigabe-Berechtigungen
- Verwendung in GPO-Sicherheitsfilter oder -Zielgruppenadressierung
- Verwendung in Scripten (is member of ... then ....)
- Email-Verteiler (Exchange)
- Verschachtelung beachten
OU-Struktur hilft Dir evtl. beim Zuordnen der GPO. Also dass Du hier evtl. die eine oder andere Gruppe sparst, welche nur für die Filterung von GPO verwendet wird, die Filterung aber jetzt durch Organisation in OU's und Zuweisung der GPO zu den jeweiligen OU's erfolgt. Beachte aber auch hier, dass das dann u.U. im Bereich der GPO unübersichtlicher werden kann. Hier solltest Du eh nur "rumfummeln", wenn Du die Mechanismen der GPO-Verarbeitung aus dem FF kennst.
das hat auch zur folge das in der gpo übersicht eine riesenlange liste an gpo's untereinander steht ohne das auf den ersten blick ersichtlich ist was wofür ist und wo wirkt... man muss sich jede einzeln angucken oder über den richtlinien ergebniss-satz gehen...
Daran wird sich auch nichts ändern. Du kannst höchsten über den Namen oder über das Beschreibungsfeld einer GPO Hinweise darauf geben, wofür sie denn gedacht ist (war). Ob die tatsächlichen Einstellungen (noch) mit dem Namen oder der Beschreibung übereinstimmen, das ist dann eine andere Sache.über den richtlinien ergebniss-satz
Dieser sagt Dir gar nichts über eine GPO aus, sondern nur darüber, welche einzelnen Einstellungen in Summe für einen Benutzer oder einen Computer angewendet wurden.(editiert)
Ja, ich will Dich auch nicht "quälen".
Ich habe nur schon oft gehört, dass jemand etwas "schöner", "besser", "übersichtlicher" machen will, meint aber nicht selten "wie es nach mir geht". Und da ich in einer größeren Umgebung unterwegs bin, mit vielen Admins, kann sowas mal schnell in die Hose gehen, wenn jeder seinen Geschmack oder Stil durchsetzen will. Da muss man sich Regeln ausmachen und sich dann jeder dran halten.
Bzw. kommt es auch vor, das jemand etwas "besser" machen will, weil er/sie es fachlich gar nicht überblicken und bloß deshalb mit dem Ist-Stand nicht klar kommen.
So war das von mir gemeint.
Ich habe nur schon oft gehört, dass jemand etwas "schöner", "besser", "übersichtlicher" machen will, meint aber nicht selten "wie es nach mir geht". Und da ich in einer größeren Umgebung unterwegs bin, mit vielen Admins, kann sowas mal schnell in die Hose gehen, wenn jeder seinen Geschmack oder Stil durchsetzen will. Da muss man sich Regeln ausmachen und sich dann jeder dran halten.
Bzw. kommt es auch vor, das jemand etwas "besser" machen will, weil er/sie es fachlich gar nicht überblicken und bloß deshalb mit dem Ist-Stand nicht klar kommen.
So war das von mir gemeint.