8
Gruppenrichtlinien für eine Gruppe von Usern
Hallo an alle Experten hier,
ich habe hier eine Frage bzw. ich bekomme das Problem nicht in den Griff. Ich habe alle User in einer OU. Wenn ich jetzt allen einen Gruppenrichtlinie zuordne ist das ja auch keine Problem. Nur ich muss es etwas anders machen und die user in Gruppen "aufteilen". Beispiel ein Teil der User gehört dem Verkauf ein andere Teil der Logistik und ein andere Teil der Dispo und der letzt Teil der Montage an. Jetzt möchte ich mehrer Gruppenrichtlinien anlegen. Als Beispiel hier eine für Verkauf und eine andere für die Logistik. Als drittes noch eine für die Montage. Natürlich könnte ich die User alle in einzelne Ou legen und dann würde es einfach gehen. Aber das ganze ist nicht so einfach da z.,B. ein Teil der Dispos auch die Gruppenrichtlinie von Vertrieb und der Montage haben sollen. Ich kann ja einen User immer nur in einer OU hinzufügen.
Jetzt die Frage an die experten hier. Wie bekomme ich so etwas hin ? Gruppen im AD anlegen und die User dort reinpacken ist ja kein Problem nur wie bekomme ich da in den Gruppenrichtlinien hin ? Dort geht ja nun Ou´s oder bin ich einfach zu blond für das ganze hier ?
Danke schon einmal an alle hier die mir helfen Tanja.
ich habe hier eine Frage bzw. ich bekomme das Problem nicht in den Griff. Ich habe alle User in einer OU. Wenn ich jetzt allen einen Gruppenrichtlinie zuordne ist das ja auch keine Problem. Nur ich muss es etwas anders machen und die user in Gruppen "aufteilen". Beispiel ein Teil der User gehört dem Verkauf ein andere Teil der Logistik und ein andere Teil der Dispo und der letzt Teil der Montage an. Jetzt möchte ich mehrer Gruppenrichtlinien anlegen. Als Beispiel hier eine für Verkauf und eine andere für die Logistik. Als drittes noch eine für die Montage. Natürlich könnte ich die User alle in einzelne Ou legen und dann würde es einfach gehen. Aber das ganze ist nicht so einfach da z.,B. ein Teil der Dispos auch die Gruppenrichtlinie von Vertrieb und der Montage haben sollen. Ich kann ja einen User immer nur in einer OU hinzufügen.
Jetzt die Frage an die experten hier. Wie bekomme ich so etwas hin ? Gruppen im AD anlegen und die User dort reinpacken ist ja kein Problem nur wie bekomme ich da in den Gruppenrichtlinien hin ? Dort geht ja nun Ou´s oder bin ich einfach zu blond für das ganze hier ?
Danke schon einmal an alle hier die mir helfen Tanja.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72391461262
Url: https://administrator.de/contentid/72391461262
Printed on: April 27, 2024 at 12:04 o'clock
8 Comments
Latest comment
Hi,
Das sollte kein Problem sein, sprich:
Das sollte kein Problem sein, sprich:
- Benutzergruppe erstellen
- Benutzer in diese Gruppe schieben
- nur dieser Gruppe bestimmte Rechte zuweisen via
Ich glaube du suchst in den Eigenschaften der Richtlinie den Reiter "Gemeinsame Optionen" und dort den Punkt "Zielgruppenadressierung"
Ach ja...ein logisches UND ist bedeutet immer MUSS. Du wirst dort das ODER brauchen.
Ach ja...ein logisches UND ist bedeutet immer MUSS. Du wirst dort das ODER brauchen.
1
Moin
Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".
Gruß
Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".
Gruß
Zitat von @Hubert.N:
Moin
Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".
Gruß
Moin
Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".
Gruß
Hi,
persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen. Computerkonten gelten mmw. auch als "Authentifizierte Benutzer" diese lesen dann erstmal alle Gruppenrichtlinien. Über die Sicherheitsfiltrierung/Delegierung kann man dann einstellen wer (in diesem Fall eine User-Gruppe) diese übernehmen darf. Ohne Chaos von irgendwelchen Computerkonten.
Grüße,
Mad-Eye
Edit: Quelle
Zitat von @Mad-Eye:
Hi,
persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen. Computerkonten gelten mmw. auch als "Authentifizierte Benutzer" diese lesen dann erstmal alle Gruppenrichtlinien. Über die Sicherheitsfiltrierung/Delegierung kann man dann einstellen wer (in diesem Fall eine User-Gruppe) diese übernehmen darf. Ohne Chaos von irgendwelchen Computerkonten.
Grüße,
Mad-Eye
Edit: Quelle
Zitat von @Hubert.N:
Moin
Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".
Gruß
Moin
Du erstellst einfach mehrere Gruppenrichtlinienobjekte. Eins für Verkauf, eins für Dispo etc.
Dann entfernst Du unter Sicherheitsfilterung die "Authentifizierten Benutzer" und fügst stattdessen die entsprechende Sicherheitsgruppe der Benutzer hinzu.
Beachte, dass die Domänencomputer das Objekt lesen können - diese also unter Delegierung mit dem Recht zum Lesen eingetragen sein müssen.
Wenn Du in den verschiedene Richtlinien eine Konfiguration mehrfach einrichtest, wird schlussendlich das Richtlinienobjekt gewinnen, was in der Verarbeitungsreihenfolge oben steht. Siehst Du, wenn du im Editor auf die OU gehst unter "Verknüpfte Gruppenrichtlinienobjekte".
Gruß
Hi,
persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen. Computerkonten gelten mmw. auch als "Authentifizierte Benutzer" diese lesen dann erstmal alle Gruppenrichtlinien. Über die Sicherheitsfiltrierung/Delegierung kann man dann einstellen wer (in diesem Fall eine User-Gruppe) diese übernehmen darf. Ohne Chaos von irgendwelchen Computerkonten.
Grüße,
Mad-Eye
Edit: Quelle
Danke für den Tipp aber leider benötige ich da noch mal Hilfe. Ich füge also unter Sicherheitsfilterung meine neu angelegt Gruppe hinzu wo die User drin sind. So weit alles OK. Nur wie geht das mit dem Recht zu entziehen ? Unter Delegierung haben Authentifizierten Benutzern nur das Recht lesen und übernehmen finde ich da eh nicht.
Danke Tanja
Hi,
du gehst in der Gruppenrichtlinie auf den Reiter Delegierung, dort dann unten Rechts auf den Button "Erweitert..." Dort öffnet sich dann ein kleines Fenster mit den Sicherheitseinstellungen der GPO. Dort die Authentifizierten Benutzer auswählen, dann werden dir die direkten Rechte angezeigt. Hier ggf. ein wenig runterscrollen und dann kommt der Punkt "Gruppenrichtlinie übernehmen" unter der Spalte Zulassen den Haken entfernen und fertig. Damit wird dann auch die Gruppe in der Sicherheitsfilterung nicht mehr angezeigt.
Grüße,
Mad-Eye
du gehst in der Gruppenrichtlinie auf den Reiter Delegierung, dort dann unten Rechts auf den Button "Erweitert..." Dort öffnet sich dann ein kleines Fenster mit den Sicherheitseinstellungen der GPO. Dort die Authentifizierten Benutzer auswählen, dann werden dir die direkten Rechte angezeigt. Hier ggf. ein wenig runterscrollen und dann kommt der Punkt "Gruppenrichtlinie übernehmen" unter der Spalte Zulassen den Haken entfernen und fertig. Damit wird dann auch die Gruppe in der Sicherheitsfilterung nicht mehr angezeigt.
Grüße,
Mad-Eye
Zitat von @Mad-Eye:
persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen.
persönlich wesentlich eleganter als die Computer zuzuweisen ist es über die Delegierung den Authentifizierten Benutzern das Recht zum übernehmen zu entziehen.
Ja... Das stimmt schon... Ich konfiguriere aber allgemein eher so wenig wie möglich. Ist also unterm Strich eher reine Geschmackssache. Funktionieren tut beides.
Zitat von @Dumpfbacke:
Danke für den Tipp aber leider benötige ich da noch mal Hilfe. Ich füge also unter Sicherheitsfilterung meine neu angelegt Gruppe hinzu wo die User drin sind. So weit alles OK. Nur wie geht das mit dem Recht zu entziehen ? Unter Delegierung haben Authentifizierten Benutzern nur das Recht lesen und übernehmen finde ich da eh nicht.
Danke für den Tipp aber leider benötige ich da noch mal Hilfe. Ich füge also unter Sicherheitsfilterung meine neu angelegt Gruppe hinzu wo die User drin sind. So weit alles OK. Nur wie geht das mit dem Recht zu entziehen ? Unter Delegierung haben Authentifizierten Benutzern nur das Recht lesen und übernehmen finde ich da eh nicht.
Viele Wege führen bekanntlich nach Rom...
Wenn Du unter Delegierung Gruppen hinzufügst, stehen Dir erst einmal nur wenige Optionen zu Verfügung. Du kannst es dann aber über die Schaltfläche Erweitert konfigurieren. Dort wirst Du auch den Haken für Gruppenrichtlinie übernehmen finden.
Einfacher geht es, wenn Du die Gruppen beim Reiter Bereich -> Sicherheitsfilterung hinzufügst. Hier wird schon beim Hinzufügen das Übernehmen der Richtlinie konfiguriert.
Gruß
edit... Ich war gedanklich eher beim Hinzufügen, als beim Entziehen... Der Weg ist aber relativ identisch...
Man kanns im Grunde machen wie man will.
Wichtig ist, dass man das Konzept aufs Papier bringen kann. Sobald es auf dem Papier ist kann ich es auch umsetzen.
Ich persönlich mach mir das gedanklich immer so einfach wie möglich und bastle da lieber eine Sicherheitsgruppe mehr.
Im Endeffekt jedes positive Recht eine Gruppe. Und die User stecke ich dann in alle möglichen Gruppen.
k.
Wichtig ist, dass man das Konzept aufs Papier bringen kann. Sobald es auf dem Papier ist kann ich es auch umsetzen.
Ich persönlich mach mir das gedanklich immer so einfach wie möglich und bastle da lieber eine Sicherheitsgruppe mehr.
Im Endeffekt jedes positive Recht eine Gruppe. Und die User stecke ich dann in alle möglichen Gruppen.
k.