gwaihir
Goto Top

ADS: GPO über OU und Usergruppe - was wiegt stärker

Hallo zusammen,

ich möchte unseren Usern per GPO die Settings für den Outlook Cache Modus mitgeben. Die Masse an Usern soll als Standard 1 Monate Cache Zeit bekommen, Einzelfälle sollen 3 oder 6 Monate Cache Zeit bekommen. Die Frage ist nun, wie weise ich das zu?

Meine Idee: Die Abteilung bekommt standardmäßig 1 Monat über die OU zugewiesen. Sollte es Einzelfälle geben, die mehr benötigen, packe ich diese User in eine AD-Gruppe, die in einer anderen OU hängt, die eine angepasste GPO beinhaltet. Die Frage ist, wenn ein User 2 solcher Einstellungen zugewiesen hat, welche hat höhere Priorität? Die der OU oder die der AD-Gruppe?

Da es fast 1700 User sind, kann ich nicht JEDEM User einfach manuell eine AD-Gruppe zuweisen. Daher die Standardzuweisung über die OUs und die Spezialfälle manuell über AD-Gruppe.

Vielen Dank für hilfreiche Antworten...

Content-ID: 5795053544

Url: https://administrator.de/forum/ads-gpo-ueber-ou-und-usergruppe-was-wiegt-staerker-5795053544.html

Ausgedruckt am: 06.04.2025 um 19:04 Uhr

ukulele-7
Lösung ukulele-7 02.02.2023 um 12:44:05 Uhr
Goto Top
Also ein User verarbeitet die GPOs die an der OU hängen in der sich der User befindet. Der User verarbeitet nicht standardmäßig GPOs die an OUs hängen in denen eine Gruppe liegt in der der User Mitglied ist. Du musst beide GPOs an die OU mit den Usern hängen. Auf die Default-GPO haben alle Leserechte, auf die besondere GPO nur die User die auch besonders sind. Die Default-GPO wird zuerst verarbeitet (Reihenfolge der GPOs an der User-OU), die andere GPO überschreibt die Default-GPO wenn sie gelesen werden darf.
lcer00
Lösung lcer00 02.02.2023 um 13:01:49 Uhr
Goto Top
Hallo,

Wenn es nur 2 Varianten sind, geht auch Folgendes:
Du erstellst 2 GPOs mit den unterschiedlichen Einstellungen auf Domänenebene bzw. in einer übergeordneten OU. Die Spezialbenutzer packst Du in eine Gruppe. Für die erste legst Du in den Sicherheitseinstellungen der GPO fest dass die Spezialbenutzergruppe diese nicht übernehmen darf. Für die zweite GPO stellst Du ein, dass sie nur durch die Spezialbenutzergruppe übernommen werden darf. Nicht vergessen: Leserechte für Authentifizierte Benutzer wieder ergänzen.

Dann musst Du nur noch die Spezalbenutzergruppe füllen/warten.

Grüße

lcer
emeriks
Lösung emeriks 02.02.2023 aktualisiert um 14:37:46 Uhr
Goto Top
Hi,
na ja, nicht ganz so, Kollegen.

Das geht alles über nur eine OU. Alle betreffenden Benutzer, die mit dem Stanbardwert und die Abweichler, können dort rein.

1. GPO - gilt für alle (Authentifizierte Benutzer) - stellt auf 1 Monat - verlinken an OU
2. GPO - gilt nur für Gruppe "Outlook-Cache-3-Monate" - stellt auf 3 Monate - verlinken an OU
3. GPO - gilt nur für Gruppe "Outlook-Cache-6-Monate" - stellt auf 6 Monate - verlinken an OU

3. GPO-Link kommt in der Rangfolge nach oben
2. GPO-Link in der Rangfolge unter die 3.
1. GPO-Link in der Rangfolge unter die 2.

Fertig aus.

Nicht vergessen:
Für 2. und 3. GPO unter "Delegierung" einstellen, dass "Authentifizierte Benutzer" diese lesen darf, aber nicht anwenden.

E.
lcer00
lcer00 02.02.2023 um 15:08:06 Uhr
Goto Top
Hallo,
Zitat von @emeriks:

Hi,
na ja, nicht ganz so, Kollegen.

Das geht alles über nur eine OU. Alle betreffenden Benutzer, die mit dem Stanbardwert und die Abweichler, können dort rein.
natürlich geht das. Aber dann muss darauf achten, dass die Anwendungreihenfolge der GPOs nicht durcheinander kommt. Wenn man die nicht so verinnerlicht hat, wie Du, finde ich den Ausschluss der Gruppe robuster. face-smile

Grüße

lcer
Gwaihir
Gwaihir 02.02.2023 um 15:10:49 Uhr
Goto Top
Das klingt so, wie ich es brauche. Werde das die Tage mal so testen! Danke Euch!