dumpfbacke
Goto Top

Gruppenrichtlinien für eine Gruppe von Usern

Hallo an alle Experten hier,
ich habe hier eine Frage bzw. ich bekomme das Problem nicht in den Griff. Ich habe alle User in einer OU. Wenn ich jetzt allen einen Gruppenrichtlinie zuordne ist das ja auch keine Problem. Nur ich muss es etwas anders machen und die user in Gruppen "aufteilen". Beispiel ein Teil der User gehört dem Verkauf ein andere Teil der Logistik und ein andere Teil der Dispo und der letzt Teil der Montage an. Jetzt möchte ich mehrer Gruppenrichtlinien anlegen. Als Beispiel hier eine für Verkauf und eine andere für die Logistik. Als drittes noch eine für die Montage. Natürlich könnte ich die User alle in einzelne Ou legen und dann würde es einfach gehen. Aber das ganze ist nicht so einfach da z.,B. ein Teil der Dispos auch die Gruppenrichtlinie von Vertrieb und der Montage haben sollen. Ich kann ja einen User immer nur in einer OU hinzufügen.
Jetzt die Frage an die experten hier. Wie bekomme ich so etwas hin ? Gruppen im AD anlegen und die User dort reinpacken ist ja kein Problem nur wie bekomme ich da in den Gruppenrichtlinien hin ? Dort geht ja nun Ou´s oder bin ich einfach zu blond für das ganze hier ?

Danke schon einmal an alle hier die mir helfen Tanja.

Content-ID: 72391461262

Url: https://administrator.de/contentid/72391461262

Printed on: December 3, 2024 at 11:12 o'clock

mayho33
mayho33 Aug 24, 2023 at 12:19:48 (UTC)
Goto Top
Hi,

Das sollte kein Problem sein, sprich:
kpunkt
kpunkt Aug 24, 2023 at 13:19:36 (UTC)
Goto Top
Ich glaube du suchst in den Eigenschaften der Richtlinie den Reiter "Gemeinsame Optionen" und dort den Punkt "Zielgruppenadressierung"
Ach ja...ein logisches UND ist bedeutet immer MUSS. Du wirst dort das ODER brauchen.
Hubert.N
Hubert.N Aug 24, 2023 at 13:23:07 (UTC)
Goto Top
Moin

Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".

Gruß
Mad-Eye
Mad-Eye Aug 24, 2023 updated at 13:51:01 (UTC)
Goto Top
Zitat von @Hubert.N:

Moin

Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".

Gruß

Hi,

persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen. Computerkonten gelten mmw. auch als "Authentifizierte Benutzer" diese lesen dann erstmal alle Gruppenrichtlinien. Über die Sicherheitsfiltrierung/Delegierung kann man dann einstellen wer (in diesem Fall eine User-Gruppe) diese übernehmen darf. Ohne Chaos von irgendwelchen Computerkonten.

Grüße,
Mad-Eye

Edit: Quelle
Dumpfbacke
Dumpfbacke Aug 27, 2023 at 14:13:17 (UTC)
Goto Top
Zitat von @Mad-Eye:

Zitat von @Hubert.N:

Moin

Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".

Gruß

Hi,

persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen. Computerkonten gelten mmw. auch als "Authentifizierte Benutzer" diese lesen dann erstmal alle Gruppenrichtlinien. Über die Sicherheitsfiltrierung/Delegierung kann man dann einstellen wer (in diesem Fall eine User-Gruppe) diese übernehmen darf. Ohne Chaos von irgendwelchen Computerkonten.

Grüße,
Mad-Eye

Edit: Quelle

Danke für den Tipp aber leider benötige ich da noch mal Hilfe. Ich füge also unter Sicherheitsfilterung meine neu angelegt Gruppe hinzu wo die User drin sind. So weit alles OK. Nur wie geht das mit dem Recht zu entziehen ? Unter Delegierung haben Authentifizierten Benutzern nur das Recht lesen und übernehmen finde ich da eh nicht.

Danke Tanja
Mad-Eye
Solution Mad-Eye Aug 28, 2023 at 06:31:19 (UTC)
Goto Top
Hi,

du gehst in der Gruppenrichtlinie auf den Reiter Delegierung, dort dann unten Rechts auf den Button "Erweitert..." Dort öffnet sich dann ein kleines Fenster mit den Sicherheitseinstellungen der GPO. Dort die Authentifizierten Benutzer auswählen, dann werden dir die direkten Rechte angezeigt. Hier ggf. ein wenig runterscrollen und dann kommt der Punkt "Gruppenrichtlinie übernehmen" unter der Spalte Zulassen den Haken entfernen und fertig. Damit wird dann auch die Gruppe in der Sicherheitsfilterung nicht mehr angezeigt.

Grüße,
Mad-Eye
Hubert.N
Solution Hubert.N Aug 28, 2023 updated at 06:35:50 (UTC)
Goto Top
Zitat von @Mad-Eye:
persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen.

Ja... Das stimmt schon... Ich konfiguriere aber allgemein eher so wenig wie möglich. Ist also unterm Strich eher reine Geschmackssache. Funktionieren tut beides.


Zitat von @Dumpfbacke:
Danke für den Tipp aber leider benötige ich da noch mal Hilfe. Ich füge also unter Sicherheitsfilterung meine neu angelegt Gruppe hinzu wo die User drin sind. So weit alles OK. Nur wie geht das mit dem Recht zu entziehen ? Unter Delegierung haben Authentifizierten Benutzern nur das Recht lesen und übernehmen finde ich da eh nicht.

Viele Wege führen bekanntlich nach Rom... face-smile
Wenn Du unter Delegierung Gruppen hinzufügst, stehen Dir erst einmal nur wenige Optionen zu Verfügung. Du kannst es dann aber über die Schaltfläche Erweitert konfigurieren. Dort wirst Du auch den Haken für Gruppenrichtlinie übernehmen finden.
Einfacher geht es, wenn Du die Gruppen beim Reiter Bereich -> Sicherheitsfilterung hinzufügst. Hier wird schon beim Hinzufügen das Übernehmen der Richtlinie konfiguriert.


Gruß


edit... Ich war gedanklich eher beim Hinzufügen, als beim Entziehen... Der Weg ist aber relativ identisch...
kpunkt
kpunkt Aug 29, 2023 at 07:02:09 (UTC)
Goto Top
Man kanns im Grunde machen wie man will.
Wichtig ist, dass man das Konzept aufs Papier bringen kann. Sobald es auf dem Papier ist kann ich es auch umsetzen.
Ich persönlich mach mir das gedanklich immer so einfach wie möglich und bastle da lieber eine Sicherheitsgruppe mehr.
Im Endeffekt jedes positive Recht eine Gruppe. Und die User stecke ich dann in alle möglichen Gruppen.

k.