5
ADS: GPO über OU und Usergruppe - was wiegt stärker
Hallo zusammen,
ich möchte unseren Usern per GPO die Settings für den Outlook Cache Modus mitgeben. Die Masse an Usern soll als Standard 1 Monate Cache Zeit bekommen, Einzelfälle sollen 3 oder 6 Monate Cache Zeit bekommen. Die Frage ist nun, wie weise ich das zu?
Meine Idee: Die Abteilung bekommt standardmäßig 1 Monat über die OU zugewiesen. Sollte es Einzelfälle geben, die mehr benötigen, packe ich diese User in eine AD-Gruppe, die in einer anderen OU hängt, die eine angepasste GPO beinhaltet. Die Frage ist, wenn ein User 2 solcher Einstellungen zugewiesen hat, welche hat höhere Priorität? Die der OU oder die der AD-Gruppe?
Da es fast 1700 User sind, kann ich nicht JEDEM User einfach manuell eine AD-Gruppe zuweisen. Daher die Standardzuweisung über die OUs und die Spezialfälle manuell über AD-Gruppe.
Vielen Dank für hilfreiche Antworten...
ich möchte unseren Usern per GPO die Settings für den Outlook Cache Modus mitgeben. Die Masse an Usern soll als Standard 1 Monate Cache Zeit bekommen, Einzelfälle sollen 3 oder 6 Monate Cache Zeit bekommen. Die Frage ist nun, wie weise ich das zu?
Meine Idee: Die Abteilung bekommt standardmäßig 1 Monat über die OU zugewiesen. Sollte es Einzelfälle geben, die mehr benötigen, packe ich diese User in eine AD-Gruppe, die in einer anderen OU hängt, die eine angepasste GPO beinhaltet. Die Frage ist, wenn ein User 2 solcher Einstellungen zugewiesen hat, welche hat höhere Priorität? Die der OU oder die der AD-Gruppe?
Da es fast 1700 User sind, kann ich nicht JEDEM User einfach manuell eine AD-Gruppe zuweisen. Daher die Standardzuweisung über die OUs und die Spezialfälle manuell über AD-Gruppe.
Vielen Dank für hilfreiche Antworten...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5795053544
Url: https://administrator.de/contentid/5795053544
Printed on: May 8, 2024 at 23:05 o'clock
5 Comments
Latest comment
Also ein User verarbeitet die GPOs die an der OU hängen in der sich der User befindet. Der User verarbeitet nicht standardmäßig GPOs die an OUs hängen in denen eine Gruppe liegt in der der User Mitglied ist. Du musst beide GPOs an die OU mit den Usern hängen. Auf die Default-GPO haben alle Leserechte, auf die besondere GPO nur die User die auch besonders sind. Die Default-GPO wird zuerst verarbeitet (Reihenfolge der GPOs an der User-OU), die andere GPO überschreibt die Default-GPO wenn sie gelesen werden darf.
Hallo,
Wenn es nur 2 Varianten sind, geht auch Folgendes:
Du erstellst 2 GPOs mit den unterschiedlichen Einstellungen auf Domänenebene bzw. in einer übergeordneten OU. Die Spezialbenutzer packst Du in eine Gruppe. Für die erste legst Du in den Sicherheitseinstellungen der GPO fest dass die Spezialbenutzergruppe diese nicht übernehmen darf. Für die zweite GPO stellst Du ein, dass sie nur durch die Spezialbenutzergruppe übernommen werden darf. Nicht vergessen: Leserechte für Authentifizierte Benutzer wieder ergänzen.
Dann musst Du nur noch die Spezalbenutzergruppe füllen/warten.
Grüße
lcer
Wenn es nur 2 Varianten sind, geht auch Folgendes:
Du erstellst 2 GPOs mit den unterschiedlichen Einstellungen auf Domänenebene bzw. in einer übergeordneten OU. Die Spezialbenutzer packst Du in eine Gruppe. Für die erste legst Du in den Sicherheitseinstellungen der GPO fest dass die Spezialbenutzergruppe diese nicht übernehmen darf. Für die zweite GPO stellst Du ein, dass sie nur durch die Spezialbenutzergruppe übernommen werden darf. Nicht vergessen: Leserechte für Authentifizierte Benutzer wieder ergänzen.
Dann musst Du nur noch die Spezalbenutzergruppe füllen/warten.
Grüße
lcer
1
Hi,
na ja, nicht ganz so, Kollegen.
Das geht alles über nur eine OU. Alle betreffenden Benutzer, die mit dem Stanbardwert und die Abweichler, können dort rein.
1. GPO - gilt für alle (Authentifizierte Benutzer) - stellt auf 1 Monat - verlinken an OU
2. GPO - gilt nur für Gruppe "Outlook-Cache-3-Monate" - stellt auf 3 Monate - verlinken an OU
3. GPO - gilt nur für Gruppe "Outlook-Cache-6-Monate" - stellt auf 6 Monate - verlinken an OU
3. GPO-Link kommt in der Rangfolge nach oben
2. GPO-Link in der Rangfolge unter die 3.
1. GPO-Link in der Rangfolge unter die 2.
Fertig aus.
Nicht vergessen:
Für 2. und 3. GPO unter "Delegierung" einstellen, dass "Authentifizierte Benutzer" diese lesen darf, aber nicht anwenden.
E.
na ja, nicht ganz so, Kollegen.
Das geht alles über nur eine OU. Alle betreffenden Benutzer, die mit dem Stanbardwert und die Abweichler, können dort rein.
1. GPO - gilt für alle (Authentifizierte Benutzer) - stellt auf 1 Monat - verlinken an OU
2. GPO - gilt nur für Gruppe "Outlook-Cache-3-Monate" - stellt auf 3 Monate - verlinken an OU
3. GPO - gilt nur für Gruppe "Outlook-Cache-6-Monate" - stellt auf 6 Monate - verlinken an OU
3. GPO-Link kommt in der Rangfolge nach oben
2. GPO-Link in der Rangfolge unter die 3.
1. GPO-Link in der Rangfolge unter die 2.
Fertig aus.
Nicht vergessen:
Für 2. und 3. GPO unter "Delegierung" einstellen, dass "Authentifizierte Benutzer" diese lesen darf, aber nicht anwenden.
E.
Hallo,
Grüße
lcer
Zitat von @emeriks:
Hi,
na ja, nicht ganz so, Kollegen.
Das geht alles über nur eine OU. Alle betreffenden Benutzer, die mit dem Stanbardwert und die Abweichler, können dort rein.
natürlich geht das. Aber dann muss darauf achten, dass die Anwendungreihenfolge der GPOs nicht durcheinander kommt. Wenn man die nicht so verinnerlicht hat, wie Du, finde ich den Ausschluss der Gruppe robuster. Hi,
na ja, nicht ganz so, Kollegen.
Das geht alles über nur eine OU. Alle betreffenden Benutzer, die mit dem Stanbardwert und die Abweichler, können dort rein.
Grüße
lcer
Das klingt so, wie ich es brauche. Werde das die Tage mal so testen! Danke Euch!
