docusnap-dude
Goto Top

Domäne neu, Gruppenrichtlinien erstellen: das Rad neu erfinden?

Hallo,

wenn eine gewachsene Struktur umzieht in eine neue, frisch aufgsetzte Domäne und man die Chance hat Gruppenrichtlinien neu und sauber zu bauen.....

Für Windows10 findet man da einige Ansätze; mir gehts aber vielmehr um einen kpl. Baum der "best practice" settings (also angefangen von DefaultDomain-Policy, Zeitsettings, EFS/Bitlocker, Kryptostuff und so weiter. eben einfach um das rad nicht neu erfinden zu müssen sondern mal "geistigen Brainstorm" zu nutzen.

Frage ist: hat jemand schon irgendwo einen Link gefunden in welchem mal Grundsatz-GPOs dokumentiert sind für Systeme ab Win8.1 & 2012R2?

Hintergrund: etliche Settings hat man vor Jahren noch gesetzt, welche mittlerweile aber relativ unnötig sind bzw. anstelle damals notwendiger "Harter Regeinstellung" mittlerweile einen eigenen Abschnitt/Thematik im GPO-Baum haben.

Ansonsten die Frage: hätte den jemand Interesse dies mal im Teamwork zusammenzustellen und gemeinsam zu publizieren für die Nachwelt?

Gruß F.

Content-ID: 337329

Url: https://administrator.de/forum/domaene-neu-gruppenrichtlinien-erstellen-das-rad-neu-erfinden-337329.html

Ausgedruckt am: 30.12.2024 um 17:12 Uhr

GuentherH
GuentherH 10.05.2017 um 08:47:57 Uhr
Goto Top
wenn eine gewachsene Struktur umzieht in eine neue, frisch aufgsetzte Domäne

Das wird ganz, ganz selten sein. Und Gruppenrichtlinien kann ich jederzeit in einer bestehenden Domäne neu aufbauen.
Und wer sagt, dass in einer neuen Domäne alles besser funktioniert?

Gruppenrichtlinien nach der in Deutschland beliebten DIN Norm für jedes Unternehmen gleich zu erstellen wird nicht klappen. Dazu sind die Anforderungen ja nach Unternehmen zu unterschiedlich.
Und Seiten für Gruppenrichtlinien gibt es auch schon genug - u.B. http://www.gruppenrichtlinien.de

LG Günther
emeriks
emeriks 10.05.2017 um 08:55:13 Uhr
Goto Top
Hi,
nichts für ungut bitte, aber ...
frisch aufgsetzte Domäne und man die Chance hat Gruppenrichtlinien neu und sauber zu bauen.....
Hm, das riecht so frisch! Und ist so sauber! ... Wie Persil-Werbung.

Kannst Du besser putzen als der Vorgänger? Oder hast Du die alte Umgebung etwa noch selbst aufgesetzt? Falls letzters, dann müsstest Du doch wissen, wo die "Dreckecken" sind und könntest einfach mal mit dem Lappen durch die GPO's gehen. "Das Rad nicht neu erfinden zu müssen/wollen" soll doch heißen, dass man unnötige Arbeit vermeiden will. Warum dann also alles neu aufsetzen?

Wenn es denn unbedingt eine neue Domäne in einer neuen Gesamtstruktur sein muss (wegen Namen oder weiß der Geier warum) dann würde ich in jedem Fall alles, was geht, mit ADMT migrieren. Die GPO durch Ex- und Import übernehmen. usw.

E.
DocuSnap-Dude
DocuSnap-Dude 10.05.2017 um 12:05:11 Uhr
Goto Top
Wenn man eine Domäne aus Win2000er-Zeiten immer "hochgerüstet" hat ist ein "Tabula rasa" mitunter mal recht ertragreich.

Und natürlich macht das Arbeit, keine Frage. Und nein, es soll nicht der ganze "alte Lack" mit rüberkommen (nein, das AD und die GPO's habe nicht ich selber erstellt sondern aus x-generationen Dienstleister übernommen). Also Migration und Co aus genau diesem Grund keine Option.

Stellen wir uns vielmehr vor, es wäre ein nigelaneuer frischer Kunde der noch nie AD hatte und man bei Null anfängt und man "tat & sächlich" alles ganz sauber neu bauen möchte. Und hier einfach mal die Erfahrungswerte der "best Settings for practice" reviewen und anwenden. Nicht mehr, nicht weniger.

Sind wir ehrlich: wer von euch liest sich ALLE GPO-Änderungen durch und kennt diese. Daher die Idee einer kleinen "Brainstorming-Arbeitsgruppe". Mein Ansatz ist der: viele Köpfe=viele gute Ideen!
emeriks
Lösung emeriks 10.05.2017 um 12:15:30 Uhr
Goto Top
Dann beachte aber auch "GPO Tattooing". Wenn Du nur die Domäne + GPO neu machst, die Clients dann in die neue Domäne aufnimmst, ohne sie neu zu installieren, dann haben diese u.U. trotzdem noch alte Einstellungen aktiv. Ebenso, wenn Du Roaming Profiles von Benutzern übernehmen solltest.
DocuSnap-Dude
DocuSnap-Dude 10.05.2017 um 16:20:58 Uhr
Goto Top
nee, die neue Domäne bekommt nur nigalnagelneue PC's; da kommt nichts rein was vorher woanders war face-wink
lcer00
lcer00 07.11.2019 um 22:05:28 Uhr
Goto Top
Hallo
Zitat von @emeriks:

Dann beachte aber auch "GPO Tattooing". Wenn Du nur die Domäne + GPO neu machst, die Clients dann in die neue Domäne aufnimmst, ohne sie neu zu installieren, dann haben diese u.U. trotzdem noch alte Einstellungen aktiv
dann wären ja Reset-GPOs chick...

Grüße

lcer
DocuSnap-Dude
DocuSnap-Dude 08.11.2019 um 07:24:25 Uhr
Goto Top
"dann wären ja Reset-GPOs chick..."

Hast du denn ein nutzbares doing dafür bei der Hand?
lcer00
lcer00 08.11.2019 um 07:44:56 Uhr
Goto Top
Hallo
Zitat von @DocuSnap-Dude:

"dann wären ja Reset-GPOs chick..."

Hast du denn ein nutzbares doing dafür bei der Hand?
Nein, und wenn - würdest Du mir glauben, dass ich wirklich alle Einstellungen auf den default-Wert eingestellt habe? Die müsstest Du halt selbst Punkt für Punkt durchgehen. Sicherheitstechnisch ist der Gedanke jedenfalls gruselig.

Grüße

lcer