7
Gruppenrichtlinien - wie vorgehen?
Hallo! 
Ich bin Anfänger in Sachen Windows Server 2003 und AD. Es soll ein Server 2003 mit rund 50 Benutzer eingerichtet werden.
Server sowie AD, DNS etc. sind eingerichtet und funktionstüchtig.
Wie startet man nun mit den Gruppenrichtlinien? Eine OU mit den entsprechenden Benutzern ist soweit auch klar.
Empfiehlt es sich jetzt der OU eine neue Gruppenrichtlinie zuzuweisen und vollständig neu zu konfigurieren oder verwendet man eine Standard-Richtlinie und passt diese an oder importiert man eine Vorlage und passt diese an? Wie geht man da am besten vor?
Auf gruppenrichtlinien.de habe ich mich bereits umgsehen, bin aber leider in Sachen "Starthilfe" nicht fündig geworden.
Über antworten würde ich mich freuen! Vielen Dank im Voraus!
Harry
Ich bin Anfänger in Sachen Windows Server 2003 und AD. Es soll ein Server 2003 mit rund 50 Benutzer eingerichtet werden.
Server sowie AD, DNS etc. sind eingerichtet und funktionstüchtig.
Wie startet man nun mit den Gruppenrichtlinien? Eine OU mit den entsprechenden Benutzern ist soweit auch klar.
Empfiehlt es sich jetzt der OU eine neue Gruppenrichtlinie zuzuweisen und vollständig neu zu konfigurieren oder verwendet man eine Standard-Richtlinie und passt diese an oder importiert man eine Vorlage und passt diese an? Wie geht man da am besten vor?
Auf gruppenrichtlinien.de habe ich mich bereits umgsehen, bin aber leider in Sachen "Starthilfe" nicht fündig geworden.
Über antworten würde ich mich freuen! Vielen Dank im Voraus!
Harry
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56909
Url: https://administrator.de/contentid/56909
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Falls Du es noch nicht getan hast besorgst Du dir die MS Gruppenrichtlinien-Verwaltungskonsole.
Die Default Richtlinen lässt Du ertmal so wie sie sind und machst neue Richtlinien.
Am Anfang ist es ratsam pro Einstellung eine Richtlinie zu machen und dieser einen sprechenden Namen zu geben.
Dann testest Du die GPO, vorzugsweise ein einer dafür extra eingerichteten OU.
Teste auch was Passiert wenn Du die GPO wider entfernst (ist dan wider alles wie es war?)
Ist der Test OK kannst Du die GPO auf die User loslassen.
Erst wenn sich die einzelnen Einstellungen im Echtbetrieb etabliert haben, kannst Du diese zu einer GPO zusammenfassen (z.B. DefaultUSER oder DefaultPC usw.)
Die Default Richtlinen lässt Du ertmal so wie sie sind und machst neue Richtlinien.
Am Anfang ist es ratsam pro Einstellung eine Richtlinie zu machen und dieser einen sprechenden Namen zu geben.
Dann testest Du die GPO, vorzugsweise ein einer dafür extra eingerichteten OU.
Teste auch was Passiert wenn Du die GPO wider entfernst (ist dan wider alles wie es war?)
Ist der Test OK kannst Du die GPO auf die User loslassen.
Erst wenn sich die einzelnen Einstellungen im Echtbetrieb etabliert haben, kannst Du diese zu einer GPO zusammenfassen (z.B. DefaultUSER oder DefaultPC usw.)
Hallo Logan000,
schon mal vielen Dank für die Hinweise.
GPMC habe ich installiert. Eine OU "ABC" angelegt und darin eine OU "User". Für die OU "User" habe ich ein neues GO erstellt. Ich wollte jetzt testweise die Kennwortrichtlinien ändern um auch kurze Kennwörter bzw. Kennwörter zuzulassen die nicht den Anforderungen entsprechen. Funktioniert leider nicht. Beim erstellen eines Benutzers kann ich kein "normales" Passwort angeben.
Muss ich im Bereich der GOs noch Einstellungen unter "Sicherheitsfilterung", "Delegierung" oder "Gruppenrichtlinienvererbung" vornehmen?
Einstellungen für die Richtlinie:
Kennwort muss Komplexitäts...: Deaktiviert
Kennwortchronik: 0 gespeicherte
Kennwörter mit umkehrbarer...: Deaktiviert
Max. Kennwortalter: 30 Tage
Min. Kennwortlänge: 1 Zeichen
Min. Kennwortalter: 0 Tage
Gruß,
Harry
schon mal vielen Dank für die Hinweise.
GPMC habe ich installiert. Eine OU "ABC" angelegt und darin eine OU "User". Für die OU "User" habe ich ein neues GO erstellt. Ich wollte jetzt testweise die Kennwortrichtlinien ändern um auch kurze Kennwörter bzw. Kennwörter zuzulassen die nicht den Anforderungen entsprechen. Funktioniert leider nicht. Beim erstellen eines Benutzers kann ich kein "normales" Passwort angeben.
Muss ich im Bereich der GOs noch Einstellungen unter "Sicherheitsfilterung", "Delegierung" oder "Gruppenrichtlinienvererbung" vornehmen?
Einstellungen für die Richtlinie:
Kennwort muss Komplexitäts...: Deaktiviert
Kennwortchronik: 0 gespeicherte
Kennwörter mit umkehrbarer...: Deaktiviert
Max. Kennwortalter: 30 Tage
Min. Kennwortlänge: 1 Zeichen
Min. Kennwortalter: 0 Tage
Gruß,
Harry
Da ich selber auch noch Anfänger bin, kannst Du meinen Tip nicht für voll nehmen bis er dir von Anderen bestätigt wird: Bei Sicherheitsfilter Authentifizierte Benutzer reinnehmen.
Die Kennwortkomplexität gehört zu den wenigen Dingen die in der Default Domain Policy geändert werden müssten, da die se dort eingestellt ist und weil in der OU struktur "höher" liegt auch mit höhere Prio. als deine eigene GPO ausgeführt wird.
Wenn es nur um Test der GPOs geht: Such Dir eine andere Einstellung.
(Beachte bei Computerkonfiguration muss der PC unter der jeweiligen OU liegen!)
Wenn Du diese Einstellung unbedingt in deinem Netz benötigtst:
Nimm diese (und nur diese) in der Default Domain Policy vor. Aber dokumentiere diese Änderungen.
Wenn es nur um Test der GPOs geht: Such Dir eine andere Einstellung.
(Beachte bei Computerkonfiguration muss der PC unter der jeweiligen OU liegen!)
Wenn Du diese Einstellung unbedingt in deinem Netz benötigtst:
Nimm diese (und nur diese) in der Default Domain Policy vor. Aber dokumentiere diese Änderungen.
...ok! Da hatte ich mir ja genau die falsche Einstellung ausgesucht. Habe es jetzt mit der IE Startseite probiert - welches auch funktioniert hat.
Ich habe eine neues GO angelegt, darin die IE Startseite geändert und das wars. Muss man sonst noch was beachten oder eingestellt werden?
Was meinste du genau mit "Beachte bei Computerkonfiguration muss der PC unter der jeweiligen OU liegen!" ? Wenn ich die Gruppenrichtlinien für die Computerkonfiguration ändere muss ich den oder die jeweiligen Computer im AD aus der "Computers"-Liste in die OU verschieben?
Danke und Gruß
Ich habe eine neues GO angelegt, darin die IE Startseite geändert und das wars. Muss man sonst noch was beachten oder eingestellt werden?
Was meinste du genau mit "Beachte bei Computerkonfiguration muss der PC unter der jeweiligen OU liegen!" ? Wenn ich die Gruppenrichtlinien für die Computerkonfiguration ändere muss ich den oder die jeweiligen Computer im AD aus der "Computers"-Liste in die OU verschieben?
Danke und Gruß
JA!
Gruppenrichtlinien wirken erstmal auf alle Computer und User in der jeweiligen OU (und bei aktivierter Vererbung auch in den OUs darunter).
Benutzer konfiguration nur auf User und Computer konfiguration ....
Wenn Du jetzt erreichen möchtest das einige GPOs nur für bestimmte User oder PCs gelten kannst Du entweder das mit entsprechenden OUs aufteilen (schön wenns klappt, da einfacher) oder Du die GPOs nur auf bestimmte Gruppen anwenden.
Dazu erstellt du eine Gruppe in die du die jeweiligen User Und/oder PCs packst.
Dann schaust du in der GPMC unter delegation der jeweiligen Richtlinie nach. über Erweitert nimmst du der Gruppe der Autentifizierten Benutzer ( das sind alle User und Computer der Domäne) das Recht "Gruppenrichtlinie übernehmen". Die setzt du dan für deine neue Gruppe.
Alternativ hast du auch die Möglichkeit Gruppenrichtlinie übernehmen zu verweigern.
Damit kanst du sehr komplexe Strukturen abbilden. So komplex das Du schnell den überblick verlierst. Also immer daran denken: Weniger ist mehr.
Gruppenrichtlinien wirken erstmal auf alle Computer und User in der jeweiligen OU (und bei aktivierter Vererbung auch in den OUs darunter).
Benutzer konfiguration nur auf User und Computer konfiguration ....
Wenn Du jetzt erreichen möchtest das einige GPOs nur für bestimmte User oder PCs gelten kannst Du entweder das mit entsprechenden OUs aufteilen (schön wenns klappt, da einfacher) oder Du die GPOs nur auf bestimmte Gruppen anwenden.
Dazu erstellt du eine Gruppe in die du die jeweiligen User Und/oder PCs packst.
Dann schaust du in der GPMC unter delegation der jeweiligen Richtlinie nach. über Erweitert nimmst du der Gruppe der Autentifizierten Benutzer ( das sind alle User und Computer der Domäne) das Recht "Gruppenrichtlinie übernehmen". Die setzt du dan für deine neue Gruppe.
Alternativ hast du auch die Möglichkeit Gruppenrichtlinie übernehmen zu verweigern.
Damit kanst du sehr komplexe Strukturen abbilden. So komplex das Du schnell den überblick verlierst. Also immer daran denken: Weniger ist mehr.
Verstehe so langsam. Ich werde da wohl noch ein bisschen rumbasteln müssen. Das hier heute, hat mir aber schon mal sehr viel weitergeholfen! Besten Dank!
Die Komplexität ist schon ohne Veränderung sehr groß.
Gruß,
Harry
Die Komplexität ist schon ohne Veränderung sehr groß.
Gruß,
Harry
