Gruppenrichtlinien - Struktur (Admin - Hauptbenutzer - Benutzer - Gast)

[Lloyd Christmas]

Hallo,

ich mache mich das erste mal an Gruppenrichtlinien dran. Habe auch schon gute Ansätze gefunden, z.B. bei Gruppenrichtlinien allerdings gibt es dort auch keine "Musterlösung".

Mir fehlt da der Durchblick.

Wie ich es bisher verstanden habe, läuft das so.

DOMÄNE.local

-OU (Benutzer)

- OU (Admin)

- OU (Lehrer)

- OU (Schüler)

Jetzt hat die Domäne.local eine Gruppenrichtlinie, die Default Domain Policy. Unverändert.

Dann kann ich in die OU - Admin gehen und eine neue mit namen "userADMIN" einrichten und den anderen OU's ebenfalls mit dem dazugehörigen namen.

Jetzt greifen die OU's doch auch die übergeordnete Gruppenrichtlinie zu, oder?

Und was muss ich unter "OU - EIGENSCHAFTEN - GRUPPENRICHTLINIE - EIGENSCHAFTEN - SICHERHEIT" einstellen, dass nur diese OU darauf zugreift? Auch nur die OU dort einfügen und "authentifizierten Benutzer" raus?

So, das ist ja ne ziemliche fummelarbeit wie mir vorkommt. Denn ich muss erstmal die Default Domain Policy einrichten, dann für Admin, Lehrer, Schüler und Gast.

Aber ich weiß nicht was ich da einstellen soll. Jedenfalls nicht wirklich. Wie gesagt, mache das zum ersten mal und will nichts falsch machen.

Ich stelle es mir so vor, dass Admins halt Admin-Rechte haben, Lehrer die Hauptbenutzer sind und Schüler nur Benutzer (mit weniger rechten) und Gäste haben kaum rechte. So weit kann ich auch alles anchvollziehen, doch ich weiß nicht, wie ich anfangen soll und welche Punkte wichtige utner den Gruppenrichtlinien sind und welche man getrost überfliegen kann.

Bitte um Tipps... wäre echt nett. Danke.

[janlutmeh]

Die Benutzer einschränken als erstes über Gruppenmitgliedschaften.

Gruppenrichtlinien werden immer in fester Reihenfolge angewendet. Standort, Domäne, OU. Gruppenrichtlinien werden vererbt, wenn die Vererbung nicht unterbrochen wird. Grundsätzlich wird immer die Einstellung die am nächsten am Objekt liegt angewendet, es sei denn ein übergeordnete Richtlinie wird erzwungen. Übersichtlicher gestaltet sich die Arbeit mit GPO´s durch den Einsatz der Gruppenrichtlinien-Konsole. Download als GPMC.msi bei Gruppenrichtlinien.de unter Downloads.

[Lloyd Christmas]

Die Benutzer einschränken als erstes über Gruppenmitgliedschaften.

Gruppenrichtlinien werden immer in fester Reihenfolge angewendet. Standort, Domäne, OU. Gruppenrichtlinien werden vererbt, wenn die Vererbung nicht unterbrochen wird. Grundsätzlich wird immer die Einstellung die am nächsten am Objekt liegt angewendet, es sei denn ein übergeordnete Richtlinie wird erzwungen. Übersichtlicher gestaltet sich die Arbeit mit GPO´s durch den Einsatz der Gruppenrichtlinien-Konsole. Download als GPMC.msi bei Gruppenrichtlinien.de unter Downloads.

Aha... ich lad es mal runter...

Aber was sind denn typische merkmale für Admin-, Hauptbenutzer-, Benutzer- und Gast-Rechte?

Was muss aktiviert, deaktiviert oder nicht konfiguriert sein???

Und wie setz ich das dann fest, dass diese Reihenfolge nicht unterbrochen wird? Wo muss ich dann eine Hacken machen und wo muss einer weg?

Zum Download, leider geht der unter W2K Server nicht, er sagt ich muss unter XP erst das SP1 isntallieren...

[Tiro]

Die Benutzer einschränken als erstes über Gruppenmitgliedschaften.

Genau, was anderes macht bei diesem Beispiel keinen Sinn.

Deshalb gibt es Gruppen.

OUs und Richtlinien für dieses Beispiel würden beispielsweise zweckmäßig sein, wenn man auf den ersten Blick sehen will, ob ein Schüler, ein Lehrer oder ein Admin angemeldet ist, weil sie jeweils einen bestimmten festen Hintergrund bekommen. (Schüler sind ja immer auf der Suche nach mehr Rechten )

Zur Zeit kannst Du auch ein 38MB Webcast beim mcseboard.de zu Gruppenrichtlinien herunterladen.

Standort, Domäne, OU

Nur der Vollständigkeit halber: eigentlich kommt vor Standort noch "lokaler Rechner" (aber das ist fast vernachlässigbar )

T

[Tiro]

Aber was sind denn typische merkmale für Admin-, Hauptbenutzer-, Benutzer- und Gast-Rechte?

Admin darf alles (Software installieren, Treiber freigeben, alle Rechte vergeben, Besitz übernehmen usw.)

Hauptbenutzer darf ein bißchen was (Drucker einrichten, Freigabe erstellen, gewisse Systemeinstellungen ändern)

Benutzer darf etwas (Hintergrund ändern, Style anpassen etc.)

Gast darf nix

[Lloyd Christmas]

Admin darf alles (Software installieren, Treiber freigeben, alle Rechte vergeben, Besitz übernehmen usw.)

Hauptbenutzer darf ein bißchen was (Drucker einrichten, Freigabe erstellen, gewisse Systemeinstellungen ändern)

Benutzer darf etwas (Hintergrund ändern, Style anpassen etc.)

Gast darf nix

Jo, das ist mir schon klar, es war eher daruf bezogen, was ich dafür unter der bestimmten Gruppenrichtlinie aktivieren muss und was nicht...

Beispiel: Gast darf drucker installieren.

Was mach ich dann? Lege ich eine neue Gruppenrichtlinie an, nenne diese Gast und gebe im Drucker installieren frei? und das wars???

[Lloyd Christmas]

Und wo liegt der Unterschied bei der Einstellung der Gruppenrichtlinien zwischen Computerkonfiguration und Benutzerconfiguration???

Tut mir ja leid, für manche von euch ist das ja bestimmt pippifax, aber ich weiß es echt nicht

[janlutmeh]

Die Computerkonfiguration legt Richtlinien für den Computer (Rechner wite Einstellungen) fest, die Benutzerkonfiguration enthält Benutzerspezifische Richtlinien.

Beispiel:

Richtlinie Test an OU Test. Ein Benutzer aus der OU Test meldet sich an einem Rechner aus der OU Test an. Hier werden sowohl Computer als auch Benutzerkonfiguration der GPO übernommen. Danach meldet sich der Benutzer an einem Computer an der nicht in der OU Test steht. Da der Computer in einer anderen OU steht, werden nur die Benutzereinstellungen aus der Test GPO übernommen. Die Computereinstellungen werden aus einer evtl. vorhandenen GPO für die betreffende OU gezogen. Ein Benutzer der nicht aus der OU Test ist meldet sich an einem Rechener der OU Test an. Jetzt werden nur die Computereinstellungen für Test übernommen.