6
Unterschied OU und Gruppen
Hallo,
mir ist der Unterschied zw. Organisationseinheiten und Gruppen nicht klar.
Ich erstelle im Active Dir. eine neue OU, darin einen neuen Benutzer.
Jetzt geh ich ins gpmc und ordne dieser ou meine Gruppenrichtlinienobjekt zu. In dem z.B. steht dass das Netzwerkumgebungssymbol nicht mehr angezeigt wird.
Meinen Benutzer ordne ich jetzt noch einer Gruppe zu, z.b. Domain-Admins.
Und hier komme ich jetzt durcheinander. Wenn man eine neue Domain erstellt was ist das jetzt was in „Users“ drinnen steht?
Was bringt mir das jetzt wenn ich in „Users“ meine Benutzer erstelle?
Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?
Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?
Anders rum:
Ich erstell eine OU ordne der mein GPO zu und pack die User da rein, fertig.
Was ist da jetzt der Unterschied zw. einer Gruppe und einer OU?
mir ist der Unterschied zw. Organisationseinheiten und Gruppen nicht klar.
Ich erstelle im Active Dir. eine neue OU, darin einen neuen Benutzer.
Jetzt geh ich ins gpmc und ordne dieser ou meine Gruppenrichtlinienobjekt zu. In dem z.B. steht dass das Netzwerkumgebungssymbol nicht mehr angezeigt wird.
Meinen Benutzer ordne ich jetzt noch einer Gruppe zu, z.b. Domain-Admins.
Und hier komme ich jetzt durcheinander. Wenn man eine neue Domain erstellt was ist das jetzt was in „Users“ drinnen steht?
Was bringt mir das jetzt wenn ich in „Users“ meine Benutzer erstelle?
Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?
Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?
Anders rum:
Ich erstell eine OU ordne der mein GPO zu und pack die User da rein, fertig.
Was ist da jetzt der Unterschied zw. einer Gruppe und einer OU?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 100113
Url: https://administrator.de/contentid/100113
Printed on: April 25, 2024 at 00:04 o'clock
6 Comments
Latest comment
Hallo Diego,
eine Organisationseinheit innerhalb des Active Directory kannst du dir mehr wie einen Ordner vorstellen als wie eine Gruppe. Eine OU kann verschiedene Objekte aus dem Active Directory enthalten. Also z.B. Benutzer, Computer oder auch Gruppen. Gruppenrichtlinien werden immer auf OUs angewendet.
Eine Gruppe (besser Benutzergruppe) dient dazu Berechtigungen (z.B. Freigabeberechtigungen, NTFS-Berechtigungen aber auch Berechtigungen über Gruppenrichtlinien) an Benutzer weiterzugeben. Das vereinfacht die Vergabe von Benutzerberechtigungen dadurch, dass du nicht jedem einzelnen Benutzer die Rechte zuweisen musst sondern diese einfach in eine Gruppe mit aufnehmen kannst.
Das ganze Thema Gruppenrichtlinien, OUs usw. ist recht komplex. Ich hoffe ich konnte dir ein wenig weiterhelfen. Ansonsten würde ich dir empfehlen dich mal mit einem entsprechendem Buch über das Active Directory auseinander zu setzen.
Gruß, Pandora
eine Organisationseinheit innerhalb des Active Directory kannst du dir mehr wie einen Ordner vorstellen als wie eine Gruppe. Eine OU kann verschiedene Objekte aus dem Active Directory enthalten. Also z.B. Benutzer, Computer oder auch Gruppen. Gruppenrichtlinien werden immer auf OUs angewendet.
Eine Gruppe (besser Benutzergruppe) dient dazu Berechtigungen (z.B. Freigabeberechtigungen, NTFS-Berechtigungen aber auch Berechtigungen über Gruppenrichtlinien) an Benutzer weiterzugeben. Das vereinfacht die Vergabe von Benutzerberechtigungen dadurch, dass du nicht jedem einzelnen Benutzer die Rechte zuweisen musst sondern diese einfach in eine Gruppe mit aufnehmen kannst.
Das ganze Thema Gruppenrichtlinien, OUs usw. ist recht komplex. Ich hoffe ich konnte dir ein wenig weiterhelfen. Ansonsten würde ich dir empfehlen dich mal mit einem entsprechendem Buch über das Active Directory auseinander zu setzen.
Gruß, Pandora
Hi Diego !
Grundsätzlich ähneln sich Gruppen und OUs darin, dass man Ihnen Benutzer zuweisen kann, um eine Hierarchie herzustellen. Allerdings kannst Du einer OU Gruppenrichtlinien zuordnen, während das meiner Meinung nach für Gruppen nicht geht. (Ich bin neu in meiner Firma und habe noch keinen Zugriff auf einen WinServer, daher kann ich gerade nicht nachschauen). Tatsache ist, dass Du einer OU auch Computerobjekte zuordnen kannst, während sich Gruppen auf Benutzerobjekte beziehen. Mit Gruppen kannst Du also vor allem Deine Zugriffsrechte auf Dateien (NTFS) und Drucker im Netzwerk regeln, aber auch Gruppen in eine OU verschieben und der OU eine Gruppenrichtlinie zuordnen.
Allgemein solltest Du Dir zur gewünschten Hierarchie im Active Directory Gedanken machen, es gibt nämlich zwei Möglichkeiten:
- Du spiegelst die Angestellten-Hierachie wieder, und legst danach Deine OUs an (Manager, Angestelle, Praktikanten etc.)
oder
- Du bildest die Räumliche Struktur auf oberster Ebene ab (Chefetage, Steuerbüro, Lager etc.) .
Grundsäztzlich wäre es schon OK alle Benutzer im Container Users zu belassen, aber das ist schon in mittelgroßen Firmen keine strukturierte Anordnung für Dein AD.
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"
Es gibt manche GPOs, die nur mit der Domäne verknüpft werden können, z.B. Passwortrichtlinien (Trotzdem kann man sie scheinbar auch mit anderen OUs verknüpfen, aber dann greifern sie nicht), ansonsten würde ich GPOs grundsätzlich auf OU-Ebene anwenden. Dabei musst Du natürlich darauf achten, ob Du das GPO den Computern oder den Benutzern zuweißt.
"Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?"
Wenn Du nur einen Benutzer beeinflussen willst, gäbe es auch die Möglichkeit das lokale GPO auf dem Rechner zu ändern, an dem der Benutzer arbeitet (wenn es nur einer ist). Gruppenrichtlinien sind eben für mehrere Objekte mit ähnlichen Eigenschaften gedacht. Allerdings musst Du dabei auf die Einstellungen zur Kombination von lokalen und Serverseitigen GPOs achten, da gibt es eine Verarbeitungsreihenfolge.
Ich hoffe ich konnte Dir etwas weiterhelfen, aber da ich wie gesagt gerade keinen Zugriff auf einen Server habe, ist die Antwort noch nicht perfekt. Ich muss es meistens erst selber machen....
Gruß, MisterIX.
Grundsätzlich ähneln sich Gruppen und OUs darin, dass man Ihnen Benutzer zuweisen kann, um eine Hierarchie herzustellen. Allerdings kannst Du einer OU Gruppenrichtlinien zuordnen, während das meiner Meinung nach für Gruppen nicht geht. (Ich bin neu in meiner Firma und habe noch keinen Zugriff auf einen WinServer, daher kann ich gerade nicht nachschauen). Tatsache ist, dass Du einer OU auch Computerobjekte zuordnen kannst, während sich Gruppen auf Benutzerobjekte beziehen. Mit Gruppen kannst Du also vor allem Deine Zugriffsrechte auf Dateien (NTFS) und Drucker im Netzwerk regeln, aber auch Gruppen in eine OU verschieben und der OU eine Gruppenrichtlinie zuordnen.
Allgemein solltest Du Dir zur gewünschten Hierarchie im Active Directory Gedanken machen, es gibt nämlich zwei Möglichkeiten:
- Du spiegelst die Angestellten-Hierachie wieder, und legst danach Deine OUs an (Manager, Angestelle, Praktikanten etc.)
oder
- Du bildest die Räumliche Struktur auf oberster Ebene ab (Chefetage, Steuerbüro, Lager etc.) .
Grundsäztzlich wäre es schon OK alle Benutzer im Container Users zu belassen, aber das ist schon in mittelgroßen Firmen keine strukturierte Anordnung für Dein AD.
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"
Es gibt manche GPOs, die nur mit der Domäne verknüpft werden können, z.B. Passwortrichtlinien (Trotzdem kann man sie scheinbar auch mit anderen OUs verknüpfen, aber dann greifern sie nicht), ansonsten würde ich GPOs grundsätzlich auf OU-Ebene anwenden. Dabei musst Du natürlich darauf achten, ob Du das GPO den Computern oder den Benutzern zuweißt.
"Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?"
Wenn Du nur einen Benutzer beeinflussen willst, gäbe es auch die Möglichkeit das lokale GPO auf dem Rechner zu ändern, an dem der Benutzer arbeitet (wenn es nur einer ist). Gruppenrichtlinien sind eben für mehrere Objekte mit ähnlichen Eigenschaften gedacht. Allerdings musst Du dabei auf die Einstellungen zur Kombination von lokalen und Serverseitigen GPOs achten, da gibt es eine Verarbeitungsreihenfolge.
Ich hoffe ich konnte Dir etwas weiterhelfen, aber da ich wie gesagt gerade keinen Zugriff auf einen Server habe, ist die Antwort noch nicht perfekt. Ich muss es meistens erst selber machen....
Gruß, MisterIX.
Moin Moin
Den ist eigetlich nicht hinzuzufügen.
Ausser vieleicht: Diese ist zu diesem Thema irre hilfreich.
Hat mich auch geholfen.
Gruß L.
Den ist eigetlich nicht hinzuzufügen.
Ausser vieleicht: Diese ist zu diesem Thema irre hilfreich.
Hat mich auch geholfen.
Gruß L.
Hat mich auch geholfen.
Stimmt, mich auch.
Danke erstmal für die Antworten, dass war schon mal alles sehr hilfreich
Ich habe hier noch eine weiter Seite enteckt: http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php
hier steht genau mein Problem:
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"
Sie haben eine Organisationseinheit mit der Bezeichnung Clients erstellt. Diese OU nimmt alle Computer bis auf Server auf, das heißt sowohl Arbeitsplatzcomputer als auch Laptops oder Tablet-PCs. Für diese OU erstellen Sie eine GPO, in der nur spezielle Richtlinien für Laptops und Tablet-PC konfiguriert werden. Diese GPO soll nur auf alle Laptops und Tablet-PC der OU Clients wirken, nicht aber auf Clients, die immer online sind. Um das zu erreichen, richten Sie eine Sicherheitsgruppe Laptops und Tablet-PC ein und nehmen alle Laptops und Tablet-PC in diese Sicherheitsgruppe als Mitglieder auf. Die Berechtigungen der GPO verändern Sie anschließend so, dass diese GPO nur von der Sicherheitsgruppe Laptops und Tablet-PC gelesen und übernommen werden kann, nicht aber von den anderen Clients.
Bei mir funktiniert das aber nicht, ich habe eine OU "Benutzer1" darin User und eine Gruppe "Eingeschraenkt". Manche der User sollen jetzt der Gruppe eingeschränkt zugeordet werden -> werden einfach Syssteuerung und ein paar sachen deaktiviert.
Jetzt habe ich die GPO dafür erstellt, im Sicherheitsfilter nun die Gruppe "Eingeschraenkt" eingetragen und den "Authentifizierte User" rausgelöscht. Die GPO nun mit der OU "Benutzer1" verknüpft. Auch bei Delegierungen wirkt die GPO auf "Eingeschraenkt" und kann gelesen werden.
Aber die GPO wirkt auf keinen der User.
Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Ich habe hier noch eine weiter Seite enteckt: http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php
hier steht genau mein Problem:
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"
Sie haben eine Organisationseinheit mit der Bezeichnung Clients erstellt. Diese OU nimmt alle Computer bis auf Server auf, das heißt sowohl Arbeitsplatzcomputer als auch Laptops oder Tablet-PCs. Für diese OU erstellen Sie eine GPO, in der nur spezielle Richtlinien für Laptops und Tablet-PC konfiguriert werden. Diese GPO soll nur auf alle Laptops und Tablet-PC der OU Clients wirken, nicht aber auf Clients, die immer online sind. Um das zu erreichen, richten Sie eine Sicherheitsgruppe Laptops und Tablet-PC ein und nehmen alle Laptops und Tablet-PC in diese Sicherheitsgruppe als Mitglieder auf. Die Berechtigungen der GPO verändern Sie anschließend so, dass diese GPO nur von der Sicherheitsgruppe Laptops und Tablet-PC gelesen und übernommen werden kann, nicht aber von den anderen Clients.
Bei mir funktiniert das aber nicht, ich habe eine OU "Benutzer1" darin User und eine Gruppe "Eingeschraenkt". Manche der User sollen jetzt der Gruppe eingeschränkt zugeordet werden -> werden einfach Syssteuerung und ein paar sachen deaktiviert.
Jetzt habe ich die GPO dafür erstellt, im Sicherheitsfilter nun die Gruppe "Eingeschraenkt" eingetragen und den "Authentifizierte User" rausgelöscht. Die GPO nun mit der OU "Benutzer1" verknüpft. Auch bei Delegierungen wirkt die GPO auf "Eingeschraenkt" und kann gelesen werden.
Aber die GPO wirkt auf keinen der User.
Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Moin Moin
Da sich das ganze von einem eher theoretischen inhat zu einer konkreten Problemsteellung entwickelt, wärem ein paar mehr infos hilfreich. (server, client version).
Es gibt 2 grundsätliche Punkte die für den Einsatz von GPOs wichtig sind.
1. eine GPO wirkt nur auf objekte (Benutzer/Coputer) die unterhalb der verknüpften OU liegen. z.B. Du legst eine Neue OU auf geleicher Ebene mit Usern und Computers an. verknüpft diese OU mit GPOs in denen du verschiedenste Einstellungen vornimmst. Solange sich alle Pc unter Computers und alle Benutzer unter Users befinden wird keine Einstellung deiner GPOs übernommen werden.
2. Einstellungen unter Computerkonfiguration erden nur von Computern übernommen, sowie Benutezrkonfiguration nur von Usern.
Wenn Du eien GPO erstellst in der Benutzer und Computer einstellungen vorgenommen werden. Dann diese GPO auf eine Gruppe einschränkst in der sich nur Computer befinden, werden die Benutzereinstellungen nicht übernommen.
Du kannst feststellen ob Richtlinien angewendet werden in dem du auf dem Client gpresult.exe ausführst oder etwas konfortabler einen Ergebnisssatz in der GPMC fährst.
Gruß L.
Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Vererbung ist normalerweise aktiviert. Wenn Sie nicht deaktiviert wurde ist da nix zu machen.Da sich das ganze von einem eher theoretischen inhat zu einer konkreten Problemsteellung entwickelt, wärem ein paar mehr infos hilfreich. (server, client version).
Es gibt 2 grundsätliche Punkte die für den Einsatz von GPOs wichtig sind.
1. eine GPO wirkt nur auf objekte (Benutzer/Coputer) die unterhalb der verknüpften OU liegen. z.B. Du legst eine Neue OU auf geleicher Ebene mit Usern und Computers an. verknüpft diese OU mit GPOs in denen du verschiedenste Einstellungen vornimmst. Solange sich alle Pc unter Computers und alle Benutzer unter Users befinden wird keine Einstellung deiner GPOs übernommen werden.
2. Einstellungen unter Computerkonfiguration erden nur von Computern übernommen, sowie Benutezrkonfiguration nur von Usern.
Wenn Du eien GPO erstellst in der Benutzer und Computer einstellungen vorgenommen werden. Dann diese GPO auf eine Gruppe einschränkst in der sich nur Computer befinden, werden die Benutzereinstellungen nicht übernommen.
Du kannst feststellen ob Richtlinien angewendet werden in dem du auf dem Client gpresult.exe ausführst oder etwas konfortabler einen Ergebnisssatz in der GPMC fährst.
Gruß L.
