9
Active Directory - OU Anordnung und Aufbau
Hallo,
ich habe mal wieder einen Server vor mir wo alle User in der OU User sind, alle PC's in der OU Clients... und das wars.
GPO's wurden bisher genutzt und über Active Directory Gruppen (lese und übernahme rechte) verwaltet. Sprich es gibt unzählige AD-Gruppen für alles Mögliche...
wie könnte man das schöner / übersichtlicher gestalten?
1) pro Büro Etage eine OU und dann darunter je eine OU für Benutzer und eine für PC's?
--> aus meiner Sicht nicht so prickelnd
2) pro Team eine OU und darin je eine OU für User und eine für PC's? oder gar keine weitere Unterteilung?
--> wäre übersichtlicher als die erste Lösung denk ich...
Beispiel für den OU-Baum:
AD
--domainController
--Firma (für GPO's die auf beide Mitarbeiter Gruppen wirken sollen)
Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
Mitarbeiter_normal
TEAM1
User_TEAM1
PC's_TEAM1
TEAM2
User_TEAM2
PC's_TEAM2
TEAM3
User_TEAM3
PC's_TEAM3
usw...
--Users
3) alternativen?
Gruß und danke für input...
ich habe mal wieder einen Server vor mir wo alle User in der OU User sind, alle PC's in der OU Clients... und das wars.
GPO's wurden bisher genutzt und über Active Directory Gruppen (lese und übernahme rechte) verwaltet. Sprich es gibt unzählige AD-Gruppen für alles Mögliche...
wie könnte man das schöner / übersichtlicher gestalten?
1) pro Büro Etage eine OU und dann darunter je eine OU für Benutzer und eine für PC's?
--> aus meiner Sicht nicht so prickelnd
2) pro Team eine OU und darin je eine OU für User und eine für PC's? oder gar keine weitere Unterteilung?
--> wäre übersichtlicher als die erste Lösung denk ich...
Beispiel für den OU-Baum:
AD
--domainController
--Firma (für GPO's die auf beide Mitarbeiter Gruppen wirken sollen)
Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
Mitarbeiter_normal
TEAM1
User_TEAM1
PC's_TEAM1
TEAM2
User_TEAM2
PC's_TEAM2
TEAM3
User_TEAM3
PC's_TEAM3
usw...
--Users
3) alternativen?
Gruß und danke für input...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330940
Url: https://administrator.de/contentid/330940
Ausgedruckt am: 05.11.2024 um 17:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
nichts für ungut bitte, aber ...
Funktioniert es? Falls ja: Finger weg!
Hast Du konkreten Bedarf, daran etwas zu ändern? Falls nein: Finger weg!
"schöner" ist kein Bedarf, es sei denn, Du hast sonst nichts zu tun, und "übersichtlicher" nur dann, wenn Du es tatsächlich übersichtlicher gestalten (also besser machen) kannst. Kannst Du's?
E.
nichts für ungut bitte, aber ...
Funktioniert es? Falls ja: Finger weg!
Hast Du konkreten Bedarf, daran etwas zu ändern? Falls nein: Finger weg!
"schöner" ist kein Bedarf, es sei denn, Du hast sonst nichts zu tun, und "übersichtlicher" nur dann, wenn Du es tatsächlich übersichtlicher gestalten (also besser machen) kannst. Kannst Du's?
E.
1
Bedarf-1 = es wird unübersichtlich
Bedarf-2 = Ziel soll eine logische Struktur sein in der der User in weniger Gruppen eingetragen werden muss
Bedarf-2 = Ziel soll eine logische Struktur sein in der der User in weniger Gruppen eingetragen werden muss
Hallo,
Eine Unterteilung macht eh nur dann Sin, wenn es Unterschiedliche Anforderungen bei den GPO gibt.
Wenn Du es struktorieren willst dann eine immer eine Ober OU Computer und Benutzer auf wo dann immer alle GPO verlinkt werden die für alle ohne Ausnahme gelten.
Wenn es in den ganzen GPO immer wieder Ausnamen für xyz gibt, läuft was falsch.
Ansonsten, wenns so funktioniert las es so
Gruß
Chonta
Ziel soll eine logische Struktur sein in der der User in weniger Gruppen eingetragen werden muss
Dann musst Du Dir erstmal einen Überblick verschaffen was die GPO machen und warum die auf auf Personenkreis X gefiltert wurden.Eine Unterteilung macht eh nur dann Sin, wenn es Unterschiedliche Anforderungen bei den GPO gibt.
-Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
die gibt es nicht, da Domaiweite GPO eh wirken und die Defaults auch.Wenn Du es struktorieren willst dann eine immer eine Ober OU Computer und Benutzer auf wo dann immer alle GPO verlinkt werden die für alle ohne Ausnahme gelten.
Wenn es in den ganzen GPO immer wieder Ausnamen für xyz gibt, läuft was falsch.
Ansonsten, wenns so funktioniert las es so
Gruß
Chonta
OK.
OU-Struktur und Gruppenmitgliedschaft haben nichts, aber auch gar nichts miteinander zu tun.
Zuerst solltest Du feststellen, welche Gruppe welchen Zweck erfüllt. Ein paar Stichpunkte:
OU-Struktur hilft Dir evtl. beim Zuordnen der GPO. Also dass Du hier evtl. die eine oder andere Gruppe sparst, welche nur für die Filterung von GPO verwendet wird, die Filterung aber jetzt durch Organisation in OU's und Zuweisung der GPO zu den jeweiligen OU's erfolgt. Beachte aber auch hier, dass das dann u.U. im Bereich der GPO unübersichtlicher werden kann. Hier solltest Du eh nur "rumfummeln", wenn Du die Mechanismen der GPO-Verarbeitung aus dem FF kennst.
OU-Struktur und Gruppenmitgliedschaft haben nichts, aber auch gar nichts miteinander zu tun.
Zuerst solltest Du feststellen, welche Gruppe welchen Zweck erfüllt. Ein paar Stichpunkte:
- Verwendung in NTFS- oder Freigabe-Berechtigungen
- Verwendung in GPO-Sicherheitsfilter oder -Zielgruppenadressierung
- Verwendung in Scripten (is member of ... then ....)
- Email-Verteiler (Exchange)
- Verschachtelung beachten
OU-Struktur hilft Dir evtl. beim Zuordnen der GPO. Also dass Du hier evtl. die eine oder andere Gruppe sparst, welche nur für die Filterung von GPO verwendet wird, die Filterung aber jetzt durch Organisation in OU's und Zuweisung der GPO zu den jeweiligen OU's erfolgt. Beachte aber auch hier, dass das dann u.U. im Bereich der GPO unübersichtlicher werden kann. Hier solltest Du eh nur "rumfummeln", wenn Du die Mechanismen der GPO-Verarbeitung aus dem FF kennst.
also grundsätzlich wird nahezu alles damit geregelt... allein für den WSUS (also die Client-Einstellungen) gibt es 5 GPO's (da unterschiedliche einstellungen) welche quasi per AD-Gruppen zugeordnet werden. in den Gruppen stecken die rechner.
NTFS-shares werden auch darüber freigegeben... quasi pro ordner eine AD-gruppe
Sicherheitsfilter werden in beide richtungen genutzt (allow/deny) und zielgruppenadressierung ist natürlich auch vorhanden.
das ou-struktur und ad-gruppen pro forma erstmal nix miteinander zu tun haben weiß ich ... jedoch werden die gpo's mit den ad-gruppen in der sicherheitsfilterung verwaltet. da es ja keine entsprechenden ou's gibt (sonst könnte man die gpo mit der ou verknüfen und auf all users lassen). das hat auch zur folge das in der gpo übersicht eine riesenlange liste an gpo's untereinander steht ohne das auf den ersten blick ersichtlich ist was wofür ist und wo wirkt... man muss sich jede einzeln angucken oder über den richtlinien ergebniss-satz gehen...
und die mitarbeiter auf die keine ou's wirken sollen... das sind die die alles dürfen ;)
natürlich unterliegen sie der domänen-default gpo... aber halt nicht der runterfahren-verboten gpo... chef und so
EDIT: außerdem soll LDAP verstärkt genutzt werden in div. apllikationen - da würde ein aufgeräumtes AD schon Sinn machen
Gruß
NTFS-shares werden auch darüber freigegeben... quasi pro ordner eine AD-gruppe
Sicherheitsfilter werden in beide richtungen genutzt (allow/deny) und zielgruppenadressierung ist natürlich auch vorhanden.
das ou-struktur und ad-gruppen pro forma erstmal nix miteinander zu tun haben weiß ich ... jedoch werden die gpo's mit den ad-gruppen in der sicherheitsfilterung verwaltet. da es ja keine entsprechenden ou's gibt (sonst könnte man die gpo mit der ou verknüfen und auf all users lassen). das hat auch zur folge das in der gpo übersicht eine riesenlange liste an gpo's untereinander steht ohne das auf den ersten blick ersichtlich ist was wofür ist und wo wirkt... man muss sich jede einzeln angucken oder über den richtlinien ergebniss-satz gehen...
und die mitarbeiter auf die keine ou's wirken sollen... das sind die die alles dürfen ;)
natürlich unterliegen sie der domänen-default gpo... aber halt nicht der runterfahren-verboten gpo... chef und so
EDIT: außerdem soll LDAP verstärkt genutzt werden in div. apllikationen - da würde ein aufgeräumtes AD schon Sinn machen
Gruß
das hat auch zur folge das in der gpo übersicht eine riesenlange liste an gpo's untereinander steht ohne das auf den ersten blick ersichtlich ist was wofür ist und wo wirkt... man muss sich jede einzeln angucken oder über den richtlinien ergebniss-satz gehen...
Daran wird sich auch nichts ändern. Du kannst höchsten über den Namen oder über das Beschreibungsfeld einer GPO Hinweise darauf geben, wofür sie denn gedacht ist (war). Ob die tatsächlichen Einstellungen (noch) mit dem Namen oder der Beschreibung übereinstimmen, das ist dann eine andere Sache.über den richtlinien ergebniss-satz
Dieser sagt Dir gar nichts über eine GPO aus, sondern nur darüber, welche einzelnen Einstellungen in Summe für einen Benutzer oder einen Computer angewendet wurden.(editiert)
wir entfernen uns vom Thema...
gefragt war nach einem gangbaren / übersichtlichem AD Design
kann sein das wir aneinander vorbei reden... aus meiner sicht macht das sinn
gefragt war nach einem gangbaren / übersichtlichem AD Design
kann sein das wir aneinander vorbei reden... aus meiner sicht macht das sinn
Ja, ich will Dich auch nicht "quälen". 
Ich habe nur schon oft gehört, dass jemand etwas "schöner", "besser", "übersichtlicher" machen will, meint aber nicht selten "wie es nach mir geht". Und da ich in einer größeren Umgebung unterwegs bin, mit vielen Admins, kann sowas mal schnell in die Hose gehen, wenn jeder seinen Geschmack oder Stil durchsetzen will. Da muss man sich Regeln ausmachen und sich dann jeder dran halten.
Bzw. kommt es auch vor, das jemand etwas "besser" machen will, weil er/sie es fachlich gar nicht überblicken und bloß deshalb mit dem Ist-Stand nicht klar kommen.
So war das von mir gemeint.
Ich habe nur schon oft gehört, dass jemand etwas "schöner", "besser", "übersichtlicher" machen will, meint aber nicht selten "wie es nach mir geht". Und da ich in einer größeren Umgebung unterwegs bin, mit vielen Admins, kann sowas mal schnell in die Hose gehen, wenn jeder seinen Geschmack oder Stil durchsetzen will. Da muss man sich Regeln ausmachen und sich dann jeder dran halten.
Bzw. kommt es auch vor, das jemand etwas "besser" machen will, weil er/sie es fachlich gar nicht überblicken und bloß deshalb mit dem Ist-Stand nicht klar kommen.
So war das von mir gemeint.
fein fein
ich komm damit schon klar... aber man sollte dinge auch weiterentwickeln - denke ich... und wenn es ein offizielles To-Do seitens MS geben würde würde ich das umsetzen....
nach mir gehts da bestimmt nicht... eher nach der usability... wenn ich z.b. nur 10 user (1 team) von 200 per ldap ansprechen will kann ich das nicht indem ich einfach den DN der OU angebe ... sowas nervt einfach...
oder das PC's (aufgrund des GPO/AD_gruppen Models) in mehreren WSUS gruppen sein können.... weil der PC von einem Team zum anderen gewandert ist und niemand in den AD-Gruppen das computer-Objekt mitgezogen hat... der kleinkram summiert sich halt und man ist auf der suche nach einer besseren Lösung. genauso gut könnte man evtl den network policy server auf ou's anstatt auf gruppen wirken lassen - demnach dynamisch... und wenn der pc nicht in OU 1, 2, oder 3 ist dann gibts kein Netzwerk connect :D
ich sehe da viel potential... also das noch mehr zu automatisieren / dynamischer zu gestalten
UND was ganz argh nervt sind die deny's in den GPO Sicherheitsfilterungen wenn man dafür keine Gruppe angelegt hat...
ich denke mit einer optimierten OU-Baumstruktur und KEINE deny's läßt sich der Fehlerkreis schon eingrenzen...
Gruß und trotzdem schonmal dank
ich komm damit schon klar... aber man sollte dinge auch weiterentwickeln - denke ich... und wenn es ein offizielles To-Do seitens MS geben würde würde ich das umsetzen....
nach mir gehts da bestimmt nicht... eher nach der usability... wenn ich z.b. nur 10 user (1 team) von 200 per ldap ansprechen will kann ich das nicht indem ich einfach den DN der OU angebe ... sowas nervt einfach...
oder das PC's (aufgrund des GPO/AD_gruppen Models) in mehreren WSUS gruppen sein können.... weil der PC von einem Team zum anderen gewandert ist und niemand in den AD-Gruppen das computer-Objekt mitgezogen hat... der kleinkram summiert sich halt und man ist auf der suche nach einer besseren Lösung. genauso gut könnte man evtl den network policy server auf ou's anstatt auf gruppen wirken lassen - demnach dynamisch... und wenn der pc nicht in OU 1, 2, oder 3 ist dann gibts kein Netzwerk connect :D
ich sehe da viel potential... also das noch mehr zu automatisieren / dynamischer zu gestalten
UND was ganz argh nervt sind die deny's in den GPO Sicherheitsfilterungen wenn man dafür keine Gruppe angelegt hat...
ich denke mit einer optimierten OU-Baumstruktur und KEINE deny's läßt sich der Fehlerkreis schon eingrenzen...
Gruß und trotzdem schonmal dank
