Discussion:
Sinnvolle OU-Struktur?
(zu alt für eine Antwort)
unknown
2009-03-24 08:39:26 UTC
Permalink
Hi@,

gegebene Struktur: Windows-Domäne, Modus Windows 2003 Server, 2 mal W2k3DC
mit GC, 1 mal Member MSX 2003. Die Domäne wurde von NT4 mit MSX 5.5
migriert. Ca. 150 User- und dementsprechende Computerkonten, welche sich
alle noch in den vorgegebenen Ordnern "Users" und "Computers" befinden.
Außerdem gibt es unter "Users" eine Unterstruktur "Internet-Empfänger" mit
Kontakte-Inhalten und einen Ordner "Interne Empfänger" mit dem einzigen
Inhalt wieder einen Ordner "Users", ohne Inhalt. Und einen Ordner namens
"Verteilerlisten" unter dem Stammordner "Users", Inhalt sind
Verteilergruppen - Universal. Diese Struktur muß so von der
Exchange-Migration her kommen.

Da es vorher ein wildes Ducheinander war, habe ich alle Sicherheitsgruppen
auf Univeral geändert. Ich weiß, daß dann Gruppen und Users im GC
vorgehalten werden und dies einen höheren Replikationsaufwand verursacht,
denke aber es sollte in unserer rel. kleinen Umgebung keine größere Rolle
spielen? Weitere Memberserver mit Oracle, Virenscanner und nun neu einem
WSUS.

Und wegen dem Windows Update Server bin ich jetzt an einem Punkt, an dem ich
domänenweite Gruppenrichtlinien einsetzen muß. Ich will nicht die
Standard-Domänengruppenrichtlinie bearbeiten, das ist ja auch nicht
empfohlen. Außerdem soll die Richtlinie nicht für Domänencontroller gelten,
denn die sollen nicht vom WSUS upgedatet werden.

Wie könnte eine möglichst einfache, sinnvolle Struktur der
Organisationseinheiten (OUŽs) aussehen? Sollte ich die OUŽs
abteilungsbezogen einrichten und dann alle dieser Abteilung zugehörigen
Objekte (User, Gruppen, Drucker, Computer) einfach dort hinein verschieben
und dann für jede dieser OUŽs eine extrige Richtlinie erstellen? Zieht dies
nicht eher ehöhten Administrationsaufwand nach sich? Kann ich den leeren
Ordner "Interne Empfänger" mitsamt dem leeren Unterordner "Users" gefahrlos
löschen? Wir haben auch noch andere Standorte, diese sind aber bisher nicht
verbundenen. Was in Zukunft geplant ist, ist derzeit nicht absehbar. Wie
kann ich es möglichst einfach, sicher und gut, machen?

Sorry für diese vielleicht zu einfache Frage, habe bisher keine Erfahrung
mit OUŽs und Gruppenrichtlinien. Danke für Antworten.

Viele Grüße
Josef Gartner
Winfried Sonntag
2009-03-24 09:07:51 UTC
Permalink
Post by unknown
Und wegen dem Windows Update Server bin ich jetzt an einem Punkt, an dem ich
domänenweite Gruppenrichtlinien einsetzen muß. Ich will nicht die
Standard-Domänengruppenrichtlinie bearbeiten, das ist ja auch nicht
empfohlen. Außerdem soll die Richtlinie nicht für Domänencontroller gelten,
denn die sollen nicht vom WSUS upgedatet werden.
Dann leg doch einfach eigene OUs an. Entweder getrennt nach Clients und
Usern, oder getrennt nach Standorten. Auf diese OUs dann die
entsprechenden GPOs verlinken.
Post by unknown
Wie könnte eine möglichst einfache, sinnvolle Struktur der
Organisationseinheiten (OUŽs) aussehen?
Es muß für dich einfach sein, den Überblick zu haben. Da hat jeder seine
eigenen Prioritäten. Eine generelle Aussage dazu wirst Du wohl nicht
bekommen.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Florian Frommherz [MVP]
2009-03-24 09:12:49 UTC
Permalink
Hi Josef,
Post by unknown
Da es vorher ein wildes Ducheinander war, habe ich alle Sicherheitsgruppen
auf Univeral geändert. Ich weiß, daß dann Gruppen und Users im GC
vorgehalten werden und dies einen höheren Replikationsaufwand verursacht,
denke aber es sollte in unserer rel. kleinen Umgebung keine größere Rolle
spielen?
Es spielt auch so keine Rolle, solange du in deinem Forest nur eine Domäne
hast. Wenn du weitere Domänen hättest, müssten die universellen Gruppen
zwischen den GC repliziert werden, damit andere Domänen etwas mit den
Mitgliedern der globalen Gruppen anfangen könnten. Bei nur einer Domäne
kennen alle DCs die Mitglieder der universellen Gruppe sowieso schon (sie
sind aus der eigenen Domäne - woher auch sonst?).
Post by unknown
Wie könnte eine möglichst einfache, sinnvolle Struktur der
Organisationseinheiten (OU´s) aussehen? Sollte ich die OU´s
abteilungsbezogen einrichten und dann alle dieser Abteilung zugehörigen
Objekte (User, Gruppen, Drucker, Computer) einfach dort hinein verschieben
und dann für jede dieser OU´s eine extrige Richtlinie erstellen? Zieht
dies nicht eher ehöhten Administrationsaufwand nach sich?
Sinnvoll ist das, was dir das tägliche Administrieren erleichtert. Du
brauchst OUs eigentlich aus drei Gründen:

(a) Delegation von Rechten im AD an Hilfsadministratoren/HelpDesk
(b) Gruppenrichtlinien
(c) Eine sinnvolle, logische Struktur, die die Administration unterstützt.

Es gibt aus diesen Gründen eigentlich kein bestes, einheitliches Design.

Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der Domäne
zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs definierst du
für jede Abteilung (oder Stockwerk, oder Gebäude, was auch immer du als
"sinnvoll" erachtest und du für a und b nutzen kannst). Dann ordnest du die
Benutzerkonten in die SubOUs der "Benutzer"-OU und die Computerkonten in die
SubOUs der "Computer"-OU. Das Konzept erlaubt dir, WSUS-Einstellungen für
alle Computer zu definieren (du verlinkst die Richtlinie einfach mit der
"Computer"-OU) als auch granularere Einstellungen (indem du deine GPOs
beispielsweise an die SubOU "Benutzer Stockwerk 3" oder "Benutzer
Buchhaltung" linkst).
Post by unknown
Kann ich den leeren Ordner "Interne Empfänger" mitsamt dem leeren
Unterordner "Users" gefahrlos löschen?
Wenn keine Objekte in den Containern und Subcontainern sind und du auch
keine mit Hilfe der Funktion "Erweiterte Funktionen" aus "Active Directory
Benutzer und Computer" siehst, kannst du sie löschen.

Mach in jedem Fall aber ein sauberes Backup (das sich auch zurückspielen
lässt!), bevor du mit deinen Änderungen anfängst -- und prüfe, ob die
Replikation zwischen den Domänencontrollern ordnungsgemäß funktioniert
(repadmin /showrepl).

Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
unknown
2009-03-24 09:44:46 UTC
Permalink
Hallo Florian,

danke für Deine Anwort.

"Florian Frommherz [MVP]" <***@frickelsoft.PLEASELEAVETHISOUT.net>
schrieb
Post by Florian Frommherz [MVP]
Sinnvoll ist das, was dir das tägliche Administrieren erleichtert. Du
(a) Delegation von Rechten im AD an Hilfsadministratoren/HelpDesk
(b) Gruppenrichtlinien
(c) Eine sinnvolle, logische Struktur, die die Administration unterstützt.
Weil weitere Administratoren oder eine Delegation auf absehbare Zeit nicht
vorgesehen sind, fällt Punkt (a) erstmal flach. Punkt (b) und (c) haben
erste Priorität.
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der Domäne
zu erstellen: "Benutzer" und "Computer".
Sollte man hier die standardmäßgi vorhandenen "Users" und "Computers"
verwenden oder zwei neue OUs erstellen und dann alles dorthin verschieben?
Post by Florian Frommherz [MVP]
Unterhalb dieser OUs definierst du für jede Abteilung (oder Stockwerk,
oder Gebäude, was auch immer du als "sinnvoll" erachtest und du für a und
b nutzen kannst). Dann ordnest du die Benutzerkonten in die SubOUs der
"Benutzer"-OU und die Computerkonten in die SubOUs der "Computer"-OU. Das
Konzept erlaubt dir, WSUS-Einstellungen für alle Computer zu definieren
(du verlinkst die Richtlinie einfach mit der "Computer"-OU) als auch
granularere Einstellungen (indem du deine GPOs beispielsweise an die SubOU
"Benutzer Stockwerk 3" oder "Benutzer Buchhaltung" linkst).
Ja, halte ich für eine gute Idee. Sorry für die vielleicht blöde Frage: Aber
wie genau verlinkt man eine Gruppenrichtlinie?
Post by Florian Frommherz [MVP]
Post by unknown
Kann ich den leeren Ordner "Interne Empfänger" mitsamt dem leeren
Unterordner "Users" gefahrlos löschen?
Wenn keine Objekte in den Containern und Subcontainern sind und du auch
keine mit Hilfe der Funktion "Erweiterte Funktionen" aus "Active Directory
Benutzer und Computer" siehst, kannst du sie löschen.
Eben kontrolliert, auch unter der >Ansicht>Erweiterte Funktionen sind die
Ordner leer.
Post by Florian Frommherz [MVP]
Mach in jedem Fall aber ein sauberes Backup (das sich auch zurückspielen
lässt!), bevor du mit deinen Änderungen anfängst -- und prüfe, ob die
Replikation zwischen den Domänencontrollern ordnungsgemäß funktioniert
(repadmin /showrepl).
Jo das paßt.

Viele Grüße
Josef
Florian Frommherz [MVP]
2009-03-24 09:52:47 UTC
Permalink
Howdie!
Post by unknown
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer".
Sollte man hier die standardmäßgi vorhandenen "Users" und "Computers"
verwenden oder zwei neue OUs erstellen und dann alles dorthin verschieben?
Ja - du kannst "Users" und "Computers" nicht für Gruppenrichtlinien oder
Delegation verwenden, weil es Container sind. Mit Containern geht das nicht.
Du musst dafür Organisationseinheiten verwenden.
Post by unknown
Post by Florian Frommherz [MVP]
Unterhalb dieser OUs definierst du für jede Abteilung (oder Stockwerk,
oder Gebäude, was auch immer du als "sinnvoll" erachtest und du für a und
b nutzen kannst). Dann ordnest du die Benutzerkonten in die SubOUs der
"Benutzer"-OU und die Computerkonten in die SubOUs der "Computer"-OU.
[...]
Aber wie genau verlinkt man eine Gruppenrichtlinie?
Keine blöde Frage, das passiert nämlich mit Server 2003-Boardmitteln
transparent. Setzt du die Group Policy Management Console (GPMC) ein? Falls
nicht, lad dir das Ding bei Microsoft herunter - ist kostenlos und macht
Gruppenrichtlinienadministration erst "handhabbar".

Im Grunde erstellst du ein Gruppenrichtlinienobjekt und verlinkst/verknüpfst
es dann mit einer OU. Dann "wirkt" die GPO auf die Benutzer- und
Computerkonten in der OU (und all ihren SubOUs). Es besteht also eine
logische Verbindung zwischen OU und GPO. Du kannst eine GPO auch an mehrere
OUs verlinken/verknüpfen - so musst du nicht mehrere GPOs mit derselben
Einstellung kreieren.

Mit den Boardmitteln von Server 2003 (Rechtsklick auf die OU ->
Eigenschaften -> Gruppenrichtlinien...) läuft das Verlinken automatisch. In
der GPMC hast du für jede OU zwei Kontextmenüpunkte: "Erstellen und
verknüpfen einer Gruppenrichtlinie" oder "Verknüpfen einer bestehenden
Gruppenrichtlinie" (sinngemäß, sorry, ich fahr ich englische Kisten mit
englischen Verwaltungstools ;-). Da kommt der Vorgang mit dem Verknüpfen
einer GPO an eine oder mehrere OUs deutlicher heraus.

Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
unknown
2009-03-24 14:11:25 UTC
Permalink
Hallo Florian,

"Florian Frommherz [MVP]" schrieb
Post by Florian Frommherz [MVP]
Ja - du kannst "Users" und "Computers" nicht für Gruppenrichtlinien oder
Delegation verwenden, weil es Container sind. Mit Containern geht das
nicht. Du musst dafür Organisationseinheiten verwenden.
Aha klar logisch. Hat klick gemacht.
Post by Florian Frommherz [MVP]
Post by unknown
Aber wie genau verlinkt man eine Gruppenrichtlinie?
Keine blöde Frage, das passiert nämlich mit Server 2003-Boardmitteln
transparent. Setzt du die Group Policy Management Console (GPMC) ein?
Falls nicht, lad dir das Ding bei Microsoft herunter - ist kostenlos und
macht Gruppenrichtlinienadministration erst "handhabbar" [....]
Mit den Boardmitteln von Server 2003 (Rechtsklick auf die OU ->
Eigenschaften -> Gruppenrichtlinien...) läuft das Verlinken automatisch.
Nein die GPMC ist nicht installiert. Ich möchte es erstmal mit Boardmitteln
machen. Es besteht kein Plan, Gruppenrichtlinien im großen Stil einzusetzen,
aber was nicht ist kann ja noch werden. Im Fall des Falles kann ich ja
jederzeit die GPMC nachinstallieren und verwenden? Jetzt ist Priorität
angesichts aktueller Bedrohungen die Clients mittels WSUS aktuell zu
bekommen, aber ich will mir damit natürlich nix für die Zukunft verbauen.
Der WSUS läuft übrigens fehlerlos und ist mit Hilfe lokaler
Clientrichtlinien in einer Abteilung soweit ausgetestet. Aber ich will
natürlich nicht alle Clients deswegen anlangen.

Einzige derzeit bestehende OU unter der "DomainXXX.net" ist die OU "Domain
Controllers", Inhalt sind eben die beiden Domänencontroller. Ansonsten gibts
(vereinfachte Ansicht) nur die Container "Builtin", "Computers",
ForeignSecurityPrincipals" und "Users". Letzerer mit den genannten
Unter-Containern (nicht OUs), die ich gerne löschen will.

So, was würde denn dagegen sprechen, die Logik fortzuführen und direkt unter
"DomainXXX.net" die OUs namens "Memberservers", "Clients" und "Benutzer" zu
erstellen. (Das reine erstellen hat doch erstmal noch gar keine praktischen
Auswirkungen, oder?) Im folgenden verschiebe ich alle Memberserver vom
Container "Computers" in die OU namens "Memberservers", analog mache ich das
mit den Clientcomputern in die OU "Clients". Zeigen sich jetzt schon
praktische Auswirkungen? Ich denke eigentlich nein. Auf die OU "Clients"
wende ich dann eine entsprechende Richtlinie an, so daß sie alle den WSUS
finden und updaten. Jetzt sollte die einzige Auswirkung sein, daß die
Clients bei der Anmeldung die entsprechenden Richtlinien übernehmen und dann
die Updates zur Verfügung stehen. Später kann ich immer noch weitere
Unter-OUs im Ordner Clients erstellen und so genauer differenzieren. Sind
meine Gedankengänge so richtig?

Im unklaren bin ich mir noch darüber, ob ich auch alle Benutzer incl. der
ganzen Gruppen (Sicherheitsgruppen - universal und Verteilergruppen -
universal sowie Kontakteinträge und die entsprechende angesprochene
Containerstruktur dann vom Container "Users" komplett in die OU Benutzer
verschieben soll oder ob da eine weitere Differenzierung notwendig ist.

Vielen Dank für eine weitere Antwort.

Viele Grüße,
Josef
Wolfgang Krietsch
2009-03-24 14:45:27 UTC
Permalink
Post by unknown
"Florian Frommherz [MVP]" schrieb
Post by Florian Frommherz [MVP]
Keine blöde Frage, das passiert nämlich mit Server 2003-Boardmitteln
transparent. Setzt du die Group Policy Management Console (GPMC) ein?
Falls nicht, lad dir das Ding bei Microsoft herunter - ist kostenlos und
macht Gruppenrichtlinienadministration erst "handhabbar" [....]
Mit den Boardmitteln von Server 2003 (Rechtsklick auf die OU ->
Eigenschaften -> Gruppenrichtlinien...) läuft das Verlinken automatisch.
Nein die GPMC ist nicht installiert. Ich möchte es erstmal mit Boardmitteln
machen. Es besteht kein Plan, Gruppenrichtlinien im großen Stil einzusetzen,
aber was nicht ist kann ja noch werden. Im Fall des Falles kann ich ja
jederzeit die GPMC nachinstallieren und verwenden?
Glaub mir: Du wilst die GPMC. Auch jetzt schon. Es sei denn, Du magst
es auch, die glühende Nadeln in die Hand zu stechen - in dem Fall
solltest Du GPOs ohne GPMC verwalten ;)


Grüße

woffi
unknown
2009-03-25 08:12:53 UTC
Permalink
"Wolfgang Krietsch" schrieb
Post by Wolfgang Krietsch
Glaub mir: Du wilst die GPMC. Auch jetzt schon. Es sei denn, Du magst
es auch, die glühende Nadeln in die Hand zu stechen - in dem Fall
solltest Du GPOs ohne GPMC verwalten ;)
Ist es wirklich so schlimm? Kann man die GPMC auch auf dem Admin-PC
installieren oder muß das auf dem DC selber sein? Muß er gebootet werden?
Sorry hab damit (noch) keine Erfahrung.

Kann mir vielleicht auch noch jemand zu meinem Designvorschlag was sagen?

Vielen Dank,
Josef
Florian Frommherz [MVP]
2009-03-25 09:28:19 UTC
Permalink
Hi Josef,
Post by unknown
"Wolfgang Krietsch" schrieb
Post by Wolfgang Krietsch
Glaub mir: Du wilst die GPMC. Auch jetzt schon. Es sei denn, Du magst
es auch, die glühende Nadeln in die Hand zu stechen - in dem Fall
solltest Du GPOs ohne GPMC verwalten ;)
Ist es wirklich so schlimm? Kann man die GPMC auch auf dem Admin-PC
installieren oder muß das auf dem DC selber sein? Muß er gebootet werden?
Sorry hab damit (noch) keine Erfahrung.
Es ist nicht "schlimm", es ginge auch ohne. Aber wenn du einmal die GPMC
genutzt hast, willst du die Server 2003-Boardmittel nicht mehr. Gerade wenn
du ein paar Gruppenrichtlinien erstellt hast, lass es nur fünf sein, macht
sich die GPMC bezahlt - Features wie Übersichten, Reports und Backup/Restore
sind da unbezahlbar.

Du kannst die GPMC auf jeder Windows XP-Kiste installieren. Für Vista gibts
das RSAT, wo die GPMC enthalten ist. Damit kannst du von deiner Workstation
aus GP administrieren. Neustart nicht erforderlich.

Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
Winfried Sonntag [MVP]
2009-03-25 10:05:51 UTC
Permalink
Post by unknown
Ist es wirklich so schlimm? Kann man die GPMC auch auf dem Admin-PC
installieren oder muß das auf dem DC selber sein? Muß er gebootet werden?
Sorry hab damit (noch) keine Erfahrung.
Schau dir doch mal das Ergebnis an:
Loading Image...

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Winfried Sonntag [MVP]
2009-03-25 10:12:03 UTC
Permalink
Post by unknown
So, was würde denn dagegen sprechen, die Logik fortzuführen und direkt unter
"DomainXXX.net" die OUs namens "Memberservers", "Clients" und "Benutzer" zu
erstellen. (Das reine erstellen hat doch erstmal noch gar keine praktischen
Auswirkungen, oder?) Im folgenden verschiebe ich alle Memberserver vom
Container "Computers" in die OU namens "Memberservers", analog mache ich das
mit den Clientcomputern in die OU "Clients". Zeigen sich jetzt schon
praktische Auswirkungen? Ich denke eigentlich nein.
Spricht eigentlich nichts dagegen. Und nein, es sollte auch keine
praktischen Nebenwirkungen haben.
Post by unknown
Auf die OU "Clients" wende ich dann eine entsprechende Richtlinie an,
so daß sie alle den WSUS finden und updaten. Jetzt sollte die einzige
Auswirkung sein, daß die Clients bei der Anmeldung die entsprechenden
Richtlinien übernehmen und dann die Updates zur Verfügung stehen.
Soweit richtig. Schau dir dazu doch auch die von mir gepostete GPO für
den WSUS komplett an. Insbesonders der Benutzerteil kann dir viel Ärger
ersparen. ;)
Post by unknown
Später kann ich immer noch weitere Unter-OUs im Ordner Clients
erstellen und so genauer differenzieren. Sind meine Gedankengänge so
richtig?
Kann man so machen. Du kannst auch die GPOs über Gruppen filtern. Dazu
müssen nur die Clients unterhalb der GPO liegen, die Gruppe kann auf
einer anderen Ebene abgelegt sein.
Post by unknown
Im unklaren bin ich mir noch darüber, ob ich auch alle Benutzer incl. der
ganzen Gruppen (Sicherheitsgruppen - universal und Verteilergruppen -
universal sowie Kontakteinträge und die entsprechende angesprochene
Containerstruktur dann vom Container "Users" komplett in die OU Benutzer
verschieben soll oder ob da eine weitere Differenzierung notwendig ist.
Die "normalen" Benutzer würde ich verschieben, auch die selbst
erstellten Gruppen. Beim Rest mußt Du selbst wissen, welche Auswirkungen
evtl. GPOs haben könnten.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
unknown
2009-03-25 12:57:55 UTC
Permalink
"Winfried Sonntag [MVP]" schrieb
[...]

Hallo Winfried,

danke für Deine Ausführungen.
Dann werde ich die Gedankengänge jetzt mal weiterführen. Deine Seiten werde
ich mir auch zu Gemüte führen, merke schon, daß ich da noch was vor mir
hab...

Meld mich dann wieder.

Viele Grüße
Josef
Norbert Fehlauer [MVP]
2009-03-24 15:47:13 UTC
Permalink
"Florian Frommherz [MVP]" <***@frickelsoft.PLEASELEAVETHISOUT.net>
Hi Flori,
Post by Florian Frommherz [MVP]
Ja - du kannst "Users" und "Computers" nicht für Gruppenrichtlinien oder
Delegation verwenden, weil es Container sind. Mit Containern geht das
nicht. Du musst dafür Organisationseinheiten verwenden.
Delegation funktioniert auch für Container. ;)

Bye
Norbert
Andy Wendel
2009-03-24 10:54:47 UTC
Permalink
Hello Florian Frommherz [MVP],
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs
Sorry Florian - aber ein absoluter Design-Fehler.
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen - darunter kommen
alle anderen OUs....

Der Sinn ist, nicht eine große Anzahl von OUs direkt unter dem Baum zu haben.

Jaja - es sind zZt nur 2 - aber bald sind es mehr ( Gruppen/Verteilerlisten
etc. )

also:

Domäne
darunter eine OU - darunter alle anderen...

Alles andere Top...

Gruß

And
Winfried Sonntag [MVP]
2009-03-24 11:35:00 UTC
Permalink
Post by Andy Wendel
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs
Sorry Florian - aber ein absoluter Design-Fehler.
Siehst Du, schon gehts los. Jeder hat so seine eigenen Vorstellungen.
Post by Andy Wendel
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen - darunter kommen
alle anderen OUs....
Hmm, also hab ich jetzt einen riesigen Designfehler in meinem AD?
Post by Andy Wendel
Der Sinn ist, nicht eine große Anzahl von OUs direkt unter dem Baum zu haben.
Der Sinn ist, eine administrierbare Struktur aufzubauen, in der sich der
Admin gut und schnell zurecht findet. Die auch übersichtlich ist.
Post by Andy Wendel
Jaja - es sind zZt nur 2 - aber bald sind es mehr ( Gruppen/Verteilerlisten
etc. )
Was haben Verteilerlisten mit OUs zu tun?
Post by Andy Wendel
Domäne
darunter eine OU - darunter alle anderen...
Nein.
Post by Andy Wendel
Alles andere Top...
Wie meinen?

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Andy Wendel
2009-03-24 20:20:24 UTC
Permalink
Hallo Winfried,
Post by Winfried Sonntag [MVP]
Siehst Du, schon gehts los. Jeder hat so seine eigenen Vorstellungen.
Ja - ist wohl so. Aber nach unzähligen Einsätzen bei Kunden eliminiere ich
gerne Fehler, bevor sie entstehen - durch ein entsprchendes Design.
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen -
darunter kommen alle anderen OUs....
Hmm, also hab ich jetzt einen riesigen Designfehler in meinem AD?
Du bist nicht der, an den ich mich wende - Du weißt, was Du tust...
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Der Sinn ist, nicht eine große Anzahl von OUs direkt unter dem Baum zu haben.
Der Sinn ist, eine administrierbare Struktur aufzubauen, in der sich
der Admin gut und schnell zurecht findet. Die auch übersichtlich ist.
Und dem "normalen" Admin gleichzeitig Fehler aus der hand zu nehmen...
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Jaja - es sind zZt nur 2 - aber bald sind es mehr (
Gruppen/Verteilerlisten etc. )
Was haben Verteilerlisten mit OUs zu tun?
Viele Unternehmen pflegen VT in eigenen OUs...
Post by Winfried Sonntag [MVP]
Nein.
Doch - für Dich nicht - Ok - sonst ja! ;-)
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Alles andere Top...
Wie meinen?
Alle anderen Tipps von Flo waren sehr gut -vulgär: Top...
Post by Winfried Sonntag [MVP]
Servus
Winfried
Dito

And
Thorsten Kampe
2009-03-24 11:42:03 UTC
Permalink
* Andy Wendel (Tue, 24 Mar 2009 10:54:47 +0000 (UTC))
Post by Andy Wendel
Hello Florian Frommherz [MVP],
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs
Sorry Florian - aber ein absoluter Design-Fehler. Unterhalb der Domäne
baut man nur eine OU auf - bsp. TraiCen - darunter kommen alle anderen
OUs....
Der Sinn ist, nicht eine große Anzahl von OUs direkt unter dem Baum zu haben.
Stop, stop, stop. Das kann man so allgemein nicht sagen. Das Design
hängt von den Anforderungen ab. Normalerweise sind weder extrem flache
noch tief gestaffelte Strukturen sinnvoll.

Gegen zwei Toplevel-OUs ist aber nichts einzuwenden (wobei du sowieso
keine OUs direkt unter der Root haben kannst. Da muß zumindest eine
Organization der Domain Component dazwischen sein).

Thorsten
Andy Wendel
2009-03-24 20:21:50 UTC
Permalink
Hallo Thorsten,
Post by Thorsten Kampe
Stop, stop, stop. Das kann man so allgemein nicht sagen. Das Design
hängt von den Anforderungen ab. Normalerweise sind weder extrem flache
noch tief gestaffelte Strukturen sinnvoll.
Allgemein war das nicht gemeint - sondern für den hier lesenden - der nicht
unsere Erfahrung hat...
Post by Thorsten Kampe
Gegen zwei Toplevel-OUs ist aber nichts einzuwenden (wobei du sowieso
keine OUs direkt unter der Root haben kannst. Da muß zumindest eine
Organization der Domain Component dazwischen sein).
Hä?

Erklär mal...

And
Wolfgang Krietsch
2009-03-24 11:53:21 UTC
Permalink
Post by Andy Wendel
Hello Florian Frommherz [MVP],
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs
Sorry Florian - aber ein absoluter Design-Fehler.
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen - darunter kommen
alle anderen OUs....
Der Sinn ist, nicht eine große Anzahl von OUs direkt unter dem Baum zu haben.
Würdest Du jetzt noch erklären, warum das ein *absoluter* Fehler sein
soll?



Grüße

woffi
Andy Wendel
2009-03-24 20:14:19 UTC
Permalink
Hallo Wolfgang,


ganz einfach - zuerst hast Du nur 2 OUs unter der Domäne...

Weil das so schön ist - kommen eventuell weitere dazu - und irgendwann hast
Du viele OUs unterhalb der Domäne.

Und irgendwann kommt eine Anforderung, für alle etwas einzurichten.

Der geneigte Admin würde dann sagen: Hmm - alles mit einer Gruppenrichtlinie
machen - cool - aber diese an alle OUs verknüpfen? - Nö - also af die Default
Domain Policy - und amit bekommt jeder (!) incl der Admin die GPO - was verheerende
Wrkungen haben kann...

Ich spreche hier aus Erfahrung - und wenn man eine sogenannte Ober-Ou hat
- kann man darauf alles verlinken - was den Admin nicht betrifft...

Einfach sicherer...

Nicht jeder weiß 100%ig was er tut - und ich lehre immer: Die DefaultDomainPolicy
und die DefaultDomainControllerPolicy wird nicht angefasst - außer man weiß,
was man tut.

Gruß

And
Mark Heitbrink [MVP]
2009-03-24 20:23:38 UTC
Permalink
Hi,
Post by Andy Wendel
Der geneigte Admin würde dann sagen: Hmm - alles mit einer Gruppenrichtlinie
machen - cool - aber diese an alle OUs verknüpfen? - Nö - also af die Default
Domain Policy - und amit bekommt jeder (!) incl der Admin die GPO - was verheerende
Wrkungen haben kann...
Domänen Ebene: Sicherheitsgruppe als Filter drauf, die Ausnahmen mit
WMI abfangen und deren Ausnahmen mit ItemLevelTargeting.

OUs sind total überbewertet. Zurück zum flachen Modell von NT4.
Ein einziger Speicherort und das Ziel mit Filter definieren anstelle
einer Eindeutigkeit anhand des CN garantiert die höchste Möglichkeit
an Flexibilität.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Andy Wendel
2009-03-24 20:29:57 UTC
Permalink
Hallo Mark,
Post by Mark Heitbrink [MVP]
Domänen Ebene: Sicherheitsgruppe als Filter drauf, die Ausnahmen mit
WMI abfangen und deren Ausnahmen mit ItemLevelTargeting.
OUs sind total überbewertet. Zurück zum flachen Modell von NT4.
Ein einziger Speicherort und das Ziel mit Filter definieren anstelle
einer Eindeutigkeit anhand des CN garantiert die höchste Möglichkeit
an Flexibilität.
Ey Mark - nimmst Du Deine Medikamente nicht mehr? ;-)

Wir reden hier über Leute, die Hilfe in einer NG suchen...

Was Du schreibst kann ich und weiß ich - und der normale Admin?

Du weißt das besser als ich - wir schulen normale Leute - nicht Freaks...


Also besser nen Airbag für den Admin als wmi/Filter/usn etc....

And
Winfried Sonntag [MVP]
2009-03-24 21:15:44 UTC
Permalink
Post by Andy Wendel
Wir reden hier über Leute, die Hilfe in einer NG suchen...
Was Du schreibst kann ich und weiß ich - und der normale Admin?
Auweia, der /normale/ Admin *darf* das nicht verstehen? Das wär ja so
ähnlich wie, Du darfst mit dem Auto fahren, aber nur den ersten und
zweiten Gang benutzen.
Post by Andy Wendel
Du weißt das besser als ich - wir schulen normale Leute - nicht Freaks...
Und Du glaubst, hier in den Newsgroups gibts keine Freaks?
Post by Andy Wendel
Also besser nen Airbag für den Admin als wmi/Filter/usn etc....
Glaubst Du etwa nicht, hier lesen Menschen mit, die selbst entscheiden
können was sie tun?

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Andy Wendel
2009-03-25 08:48:07 UTC
Permalink
Hallo Winfried,
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Wir reden hier über Leute, die Hilfe in einer NG suchen...
Was Du schreibst kann ich und weiß ich - und der normale Admin?
Auweia, der /normale/ Admin *darf* das nicht verstehen? Das wär ja so
ähnlich wie, Du darfst mit dem Auto fahren, aber nur den ersten und
zweiten Gang benutzen.
Winfried - es gint noch etwas zwischen weiß und schwarz - und nicht nur Extreme...
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Du weißt das besser als ich - wir schulen normale Leute - nicht Freaks...
Und Du glaubst, hier in den Newsgroups gibts keine Freaks?
Winfried - es gint noch etwas zwischen weiß und schwarz - und nicht nur Extreme...
Post by Winfried Sonntag [MVP]
Post by Andy Wendel
Also besser nen Airbag für den Admin als wmi/Filter/usn etc....
Glaubst Du etwa nicht, hier lesen Menschen mit, die selbst entscheiden
können was sie tun?
Winfried - es gint noch etwas zwischen weiß und schwarz - und nicht nur Extreme...
Du willst das gleiche wie ich - helfen.

Also lass uns dass tun...

Es gibt kein richtig - oder kein falsch in der EDV - nur ein anders...

Servus...

And
Norbert Fehlauer [MVP]
2009-03-25 21:28:03 UTC
Permalink
"Andy Wendel" <***@traicen.com> schrieb
Hi,
Post by Andy Wendel
Es gibt kein richtig - oder kein falsch in der EDV - nur ein anders...
Gewagte Aussage ;)

Bye
Norbert
Florian Frommherz [MVP]
2009-03-24 12:02:01 UTC
Permalink
Hi Andi,
Post by Andy Wendel
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs
Sorry Florian - aber ein absoluter Design-Fehler.
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen - darunter
kommen alle anderen OUs....
Du hast die Worte "Für den Anfang" und "vorschlagen" verstanden? ;-)
Der OP hat hier eine konkrete Frage zum Design gestellt, auf die ich
antwortete, dass sich das so pauschal nicht aufstellen ließe, da von
mehreren Faktoren und letztlich vom "Nutzen" abhängig.

Zu sagen, dass mein Design "falsch" ist, geht etwas zu weit. Wenn du sagst,
dass du das anders designed hättest, kann ich damit leben. Ein Design ist
erst dann falsch, wenn man die Endlösung, die auf dem Design beruht mit den
gestellten Anforderungen vor der Designphase vergleicht. Verfehlt es die
Endlösung, die Anforderungen zu erfüllen, ist das Design in der Tat falsch.

Lass uns nicht über sowas streiten - dafür hat der OP sowieso zu wenig
detaillierte Informationen über Unternehmensgröße, geplante Änderungen,
Anzahl der GPOs etc. geliefert. :-)

Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
Andy Wendel
2009-03-24 20:08:53 UTC
Permalink
Hallo Florian,
Post by Florian Frommherz [MVP]
Hi Andi,
Andy!! - ich bin auf AndY getauft!
Post by Florian Frommherz [MVP]
Zu sagen, dass mein Design "falsch" ist, geht etwas zu weit. Wenn du
sagst, dass du das anders designed hättest, kann ich damit leben. Ein
OK - war etwas hart ausgedrückt - sorry...
Post by Florian Frommherz [MVP]
Lass uns nicht über sowas streiten - dafür hat der OP sowieso zu wenig
detaillierte Informationen über Unternehmensgröße, geplante
Änderungen, Anzahl der GPOs etc. geliefert. :-)
Wir beide doch sowieso nicht... ;-)


Andy
Florian Frommherz [MVP]
2009-03-24 21:47:53 UTC
Permalink
Howdie!
Post by Andy Wendel
Lass uns nicht über sowas streiten [...]
Wir beide doch sowieso nicht... ;-)
Gut, dann kriegen wir uns auch nicht über die i<->y Sache in deinem
Namen am Kragen ;-)

Cheers,
Florian [ohne Y]
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
Mark Heitbrink [MVP]
2009-03-24 17:27:50 UTC
Permalink
Hi,
Post by Andy Wendel
Sorry Florian - aber ein absoluter Design-Fehler.
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen - darunter kommen
alle anderen OUs....
Nein. Absolut nicht, du verschiebst nur die "Treppe" und ihre "Stufen"

Wichtig ist nur ab wo ich Delegationen definiere und ab wo ich die
Verwaltungsbereiche der GPOs einrichte.
Und das kann sowohl auf Dom-Ebene als auch auf deiner "Knoten-Ebene" total
richtig, aber auch völlig falsch sein.

Es ist eine reine persönliche Vorliebe.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Andy Wendel
2009-03-24 20:26:25 UTC
Permalink
Hallo Mark
Post by Mark Heitbrink [MVP]
Nein. Absolut nicht, du verschiebst nur die "Treppe" und ihre "Stufen"
Sehe ich komplett anders...

Weil - Antwort aus dem Post an den OP:

Hallo Wolfgang,

ganz einfach - zuerst hast Du nur 2 OUs unter der Domäne...

Weil das so schön ist - kommen eventuell weitere dazu - und irgendwann hast
Du viele OUs unterhalb der Domäne.

Und irgendwann kommt eine Anforderung, für alle etwas einzurichten.

Der geneigte Admin würde dann sagen: Hmm - alles mit einer Gruppenrichtlinie
machen - cool - aber diese an alle OUs verknüpfen? - Nö - also af die Default
Domain Policy - und amit bekommt jeder (!) incl der Admin die GPO - was verheerende
Wrkungen haben kann...

Ich spreche hier aus Erfahrung - und wenn man eine sogenannte Ober-Ou hat
- kann man darauf alles verlinken - was den Admin nicht betrifft...

Einfach sicherer...

Nicht jeder weiß 100%ig was er tut - und ich lehre immer: Die DefaultDomainPolicy
und die DefaultDomainControllerPolicy wird nicht angefasst - außer man weiß,
was man tut.

Es geht darum, den Blick auf den normalen Admin zu bekommen - versuche mal
nicht wie Mark H. zu denken.

Dann passiert schnell obiges...

Und das habe ich in vielen Consulting-Einsätzen schon gehabt...

"Ja - auf der DDP - warum denn nicht?"

Ich gebe Dir natürlich Recht...

ein Bier ist mittlerweile abgelaufen und entsorgt worden ;-)

Andy
Post by Mark Heitbrink [MVP]
Wichtig ist nur ab wo ich Delegationen definiere und ab wo ich die
Verwaltungsbereiche der GPOs einrichte.
Und das kann sowohl auf Dom-Ebene als auch auf deiner "Knoten-Ebene" total
richtig, aber auch völlig falsch sein.
Es ist eine reine persönliche Vorliebe.
Tschö
Mark
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdat
Mark Heitbrink [MVP]
2009-03-24 22:49:05 UTC
Permalink
Hi,
Post by Andy Wendel
Post by Mark Heitbrink [MVP]
Nein. Absolut nicht, du verschiebst nur die "Treppe" und ihre "Stufen"
Sehe ich komplett anders...
Sag ich ja. Es ist rein persönlich Vorliebe.
Wenn du deinen "Extra-Knoten" einbaust musst du immer noch darauf achten,
daß deine IT-Abteilung nicht von den Richtlinien getroffen wird, die
an diesem Knoten verlinkt sind und deren OU darunter liegt ...

Der "Fehler" ist der gleiche, wie bei der Dom-Ebene und einer OU
direkt darunter.

Es bleibt bei Stichwort: Verwaltungsbereich und Filter und das Konzept
muss ich verstanden habn, ohne das gibt es in keinem Design einen
Fallschirm.
Post by Andy Wendel
Ich spreche hier aus Erfahrung - und wenn man eine sogenannte Ober-Ou hat
- kann man darauf alles verlinken - was den Admin nicht betrifft...
Einfach sicherer...
Was ist mit besagter IT Abteilung? Wo steht die?

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
unknown
2009-03-25 08:19:08 UTC
Permalink
"Mark Heitbrink [MVP]" schrieb
[...]

Hallo Mark und alle,

danke für die rege Beteiligung. Wenn mir die Diskussion meine Entscheidung
jetzt auch nicht unbedingt erleichtert. Vielleicht kann mir auch von Euch
noch jemand was zu meinen oben genannten Designvorstellungen sagen? Hab ja
gesagt, was ich erreichen will... Wenn man weitere Infos braucht, bitte
sagen, welche.

Danke,
Josef
Mark Heitbrink [MVP]
2009-03-25 22:39:16 UTC
Permalink
Hi,
Post by unknown
danke für die rege Beteiligung. Wenn mir die Diskussion meine Entscheidung
jetzt auch nicht unbedingt erleichtert. Vielleicht kann mir auch von Euch
noch jemand was zu meinen oben genannten Designvorstellungen sagen?
Auch, wenn ich die ganzen Zeit das Design von Andy kaputtgeredet habe, bin
ich ebenfalls ein Freund davon eine eigene OU zu erstellen und dann darin
die von mir erstellten Konten zu sortieren.

Schau dir das Modell vom SBS an, das reduziert es eigentlich auf den
einfachsten gemeinsamen Nenner.
-> ÜBersichtlichkeit zur Administration
-> Flexibilität in der Struktur
-> Trennung in Sicherheitsbereiche für die GPOs
-> Skalierbar

ungefähr so:

MeinDom.intern
- OU= Meine Firma
- OU= Meine Benutzer
(evtl weitere Aufteilung der ÜBersicht wegen)
- OU= Meine Computer
(evtl weitere Aufteilung der ÜBersicht wegen)
- OU= Meine Sicherheitsgruppen
(reiner Speicherort)
- OU= Meine Admins

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
unknown
2009-03-26 10:47:43 UTC
Permalink
Hallo Mark, Florian, Winfried und alle,

"Mark Heitbrink [MVP]" schrieb
Post by Mark Heitbrink [MVP]
MeinDom.intern
- OU= Meine Firma
- OU= Meine Benutzer
(evtl weitere Aufteilung der ÜBersicht wegen)
- OU= Meine Computer
(evtl weitere Aufteilung der ÜBersicht wegen)
- OU= Meine Sicherheitsgruppen
(reiner Speicherort)
- OU= Meine Admins
So. Den Vorteil, nach der Domänenstruktur erstmal noch eine
"zwischengeschaltet Ober-OU" zu erstellen, habe ich erkannt und auch
umgesetzt. Meine Struktur sieht jetzt folgendermaßen aus:

- domain.net
- OBER-OU
- Benutzer
- Administratoren
- Superuser
- Anwender
- Clients
- Administratoren-PCs
- Superuser-PCs
- Anwender-PCs
- Server
- Datenbankserver
- Exchangeserver
- Mitgliedsserver
- Gruppen
- Sicherheitsgruppen
- Verteilergruppen

Ich kann dann doch z. B. auf der Ebene Benutzer eine Sicherheitsrichtlinie
erstellen und die Vererbung aktivieren, so daß sie dann für alle Benutzer
einschl. Admins gilt? Wenn ich eine Richtlinie will, die nur für normale
Benutzer gilt, erstell (bzw. korrekt: verlink) ich sie halt eine Ebene
drunter auf die OU Anwender. Die Gruppen-OUs hab ich eigentlich nur der
Übersichtlichkeit halber gemacht.

Die GPMC hab ich auch auf meinem Client installiert, wenn dann will ich es
gleich gescheit machen. Hab jetzt einen Anwender in "Anwender" geschoben und
dessen PC in "Anwender-PCs". Als nächstes erstell ich eine GPO für den WSUS
und verlinke sie mit der OU Clients. Ja, das soll auch für Admins gelten.
Wem ich die Updates genehmige kann ich ja dann auf dem WSUS entscheiden.

Gibt es was zu mäkeln? Ich meine insbesondere den Punkt, daß Admins unter
User sind.

Viele Grüße
Josef
Wolfgang Krietsch
2009-03-26 12:08:49 UTC
Permalink
Post by unknown
- domain.net
- OBER-OU
- Benutzer
- Administratoren
- Superuser
- Anwender
- Clients
- Administratoren-PCs
- Superuser-PCs
- Anwender-PCs
- Server
- Datenbankserver
- Exchangeserver
- Mitgliedsserver
- Gruppen
- Sicherheitsgruppen
- Verteilergruppen
Das finde ich zu "fein" - bzw. ich könnte für mich keinen administrativen
Vorteil darin erkennen, z. b. die Server und die Gruppen nochmal zu
unterteilen. Auch bei den PCs finde ich das überflüssig.

Du solltes Dich halt fragen, ob Dir diese Unterteilung das Leben wirklich
leichter macht.
Post by unknown
Gibt es was zu mäkeln? Ich meine insbesondere den Punkt, daß Admins unter
User sind.
Das finde ich auch icht so geschickt: du musst dann Einschränkungen, die Du
für die Benutzer eingerichtet hast, für die Admins extra wiedre aufheben.
IMHO unnötig umständlich.

Bye

woffi
--
Go to Heaven for the climate, Hell for the company.
- Mark Twain
unknown
2009-03-26 14:10:19 UTC
Permalink
"Wolfgang Krietsch" schrieb
Post by Wolfgang Krietsch
Post by unknown
- domain.net
- OBER-OU
- Benutzer
- Administratoren
- Superuser
- Anwender
- Clients
- Administratoren-PCs
- Superuser-PCs
- Anwender-PCs
- Server
- Datenbankserver
- Exchangeserver
- Mitgliedsserver
- Gruppen
- Sicherheitsgruppen
- Verteilergruppen
Das finde ich zu "fein" - bzw. ich könnte für mich keinen administrativen
Vorteil darin erkennen, z. b. die Server und die Gruppen nochmal zu
unterteilen. Auch bei den PCs finde ich das überflüssig.
Echt? Sind mehr Leute dieser Meinung?

Gruß, Josef
Wolfgang Krietsch
2009-03-26 14:40:34 UTC
Permalink
Post by unknown
"Wolfgang Krietsch" schrieb
Post by Wolfgang Krietsch
Post by unknown
- domain.net
- OBER-OU
- Benutzer
- Administratoren
- Superuser
- Anwender
- Clients
- Administratoren-PCs
- Superuser-PCs
- Anwender-PCs
- Server
- Datenbankserver
- Exchangeserver
- Mitgliedsserver
- Gruppen
- Sicherheitsgruppen
- Verteilergruppen
Das finde ich zu "fein" - bzw. ich könnte für mich keinen administrativen
Vorteil darin erkennen, z. b. die Server und die Gruppen nochmal zu
unterteilen. Auch bei den PCs finde ich das überflüssig.
Echt? Sind mehr Leute dieser Meinung?
Es kommt drauf an, wie *Deine* Administration aussieht. Bei der Einführung
des AD hatten wie auch zunächet tolle Ideen, was wir für eine ausgefuchts
OU-Struktur machen wollten ... übrg gebliben ist davon sehr wenig.

Wenn ich Deine Strukturidee mal auf "mein" AD übetrage, überlege ich:

Benutzer
- Admins will ich nicht unterhalb der Benutzer haben, kommen also ganz da
rau
- Superuser und normale Anwender gibt's bei uns eigentlich nicht.

Wir unterteilen die Benutzer nach Standorten - aber das ist eher der
Übersichtlichkeit halber als wegen der Administration. Und auch da
überlegen wir, ob sich das wirklich bewährt oder wir's nicht einfach lassen
sollen (trotz rd. 1000 Benutzern)

Clients
- keine Unterscheidung notwendig. Ich wüsste auch nicht, wozu.
Allerdings gibt's bei uns derzeit Clients, die nur per VPN angebunden sind,
und die sind derzeit in einer separaten OU, weil sie z. T. anedre
Richtlinien kriegen (Stichwort langsame Verbindung). Das ist aber derezit
noch etwas im Experimentierstadium.

Server
Admsinstrative Notwenigkeit, die zu trennen, gibt's nicht. Und bei rd. 30
Servern ist es auch noch nicht so unübersichtlich, dass man's deshalb
trennen müsste.

Gruppen
Ok, wir haben gerade erst auf Exchange 2007 migriert, was aber nicht mein
Bereich ist, und ich habe gesehen, dass es da jetzt auch Verteiluergruppen
im AD gibt. Mag sein, dass da die Trennung der Übersichlichkeit haleber
notwendig ist - habe ich eigentlich noch keine Meinung zu.


Lange Rede, kurzer Sinn: ich bin sicher nicht der AD-Guru, im Gegenteil,
ich bin da selbst noch in der Lernphase - unser AD ist noch sehr jung. Aber
gerade hinsichtlich der OU-Struktur habe ich für mich, für unser Netz,
gelernt, dass da weniger mehr ist.

Die Einführung eines DMS/VBS drht zwar, dass wir dann gezwungen sein
könnten, unser Organigramm in OUs abzubilden, aber dass wäre dann ein ZWang
von außen, gegen den ich machtlos bin - also ein ganz anderer
Gesichtspunkt.

Ebenso weiß ich von einem Kollegen, dass in seiner Firma die Schlipsträger
eine bestimmte Unterteilung in OUs "einfach so haben wollten" - aber da
war das eher eine Frage von "Macht" als von technischem Verständnis. Lex
Dilbert halt ;)

Bye

woffi
--
Go to Heaven for the climate, Hell for the company.
- Mark Twain
unknown
2009-03-26 15:42:55 UTC
Permalink
"Wolfgang Krietsch" schrieb
Post by Florian Frommherz [MVP]
Benutzer
- Admins will ich nicht unterhalb der Benutzer haben, kommen also ganz da
raus
Jo, das hab ich gemacht.
Post by Florian Frommherz [MVP]
Clients
- keine Unterscheidung notwendig. Ich wüsste auch nicht, wozu.
Server
Admsinstrative Notwenigkeit, die zu trennen, gibt's nicht.
OK mag sein aber ich vergib mir auch nichts. Glaub ich lass es so.
Post by Florian Frommherz [MVP]
Gruppen
Ok, wir haben gerade erst auf Exchange 2007 migriert, was aber nicht mein
Bereich ist, und ich habe gesehen, dass es da jetzt auch Verteiluergruppen
im AD gibt.
Die gibts auch schon bei MSX 2003 welches wir im Einsatz haben. Wird ja
alles im AD gehalten. Ja und das ist auch mein Bereich denn bei uns gibts
nur einen Admin.

[...]der OU-Struktur habe ich für mich, für unser Netz,
Post by Florian Frommherz [MVP]
gelernt, dass da weniger mehr ist.
Natürlich braucht mans nicht übertreiben. Die Unternehmensstruktur nach
Abteilungen etc. ggf. sogar noch nach ISO, würde ich für eine solche
Übertreibung, noch dazu eine weitgehend sinnlose, halten. Aber naja das hat
man natürlich wie Du anmerkst nicht nur selbst zu entscheiden... Meine
Einteilung dagegen halte ich schon für sinnvoll und übersichtlich. Aber von
erfahrenen Kollegen lasse ich mich auch gern eines besseren belehren.

Servus, Josef
Winfried Sonntag [MVP]
2009-03-26 12:53:29 UTC
Permalink
Post by unknown
So. Den Vorteil, nach der Domänenstruktur erstmal noch eine
"zwischengeschaltet Ober-OU" zu erstellen, habe ich erkannt und auch
- domain.net
- OBER-OU
- Benutzer
- Administratoren
- Superuser
- Anwender
Wenn in den Administratoren auch der Domain Admin enthalten ist, dann
würde ich das nicht machen. Denn der ist bei mir frei von irgendwelchen
GPOs.
Post by unknown
- Clients
- Administratoren-PCs
- Superuser-PCs
- Anwender-PCs
- Server
- Datenbankserver
- Exchangeserver
- Mitgliedsserver
- Gruppen
- Sicherheitsgruppen
- Verteilergruppen
Ich kann dann doch z. B. auf der Ebene Benutzer eine Sicherheitsrichtlinie
erstellen und die Vererbung aktivieren, so daß sie dann für alle Benutzer
einschl. Admins gilt? Wenn ich eine Richtlinie will, die nur für normale
Benutzer gilt, erstell (bzw. korrekt: verlink) ich sie halt eine Ebene
drunter auf die OU Anwender.
Das kannst Du so machen, schau dir auch mal die Möglichkeit der
Sicherheitsfilterung an, damit kannst Du die GPOs alle ganz oben in der
OBER-OU verlinken und filtern lassen.
Post by unknown
Die Gruppen-OUs hab ich eigentlich nur der Übersichtlichkeit halber
gemacht.
Kann überhaupt nicht schaden. ;)
Post by unknown
Die GPMC hab ich auch auf meinem Client installiert, wenn dann will ich es
gleich gescheit machen. Hab jetzt einen Anwender in "Anwender" geschoben und
dessen PC in "Anwender-PCs". Als nächstes erstell ich eine GPO für den WSUS
und verlinke sie mit der OU Clients. Ja, das soll auch für Admins gelten.
Wem ich die Updates genehmige kann ich ja dann auf dem WSUS entscheiden.
Hab ich meine Beispiel-GPO für den WSUS schon gepostet? Hmm, egal, hier
ist sie: http://www.wsus.de/images/WSUSGPO.png
Post by unknown
Gibt es was zu mäkeln? Ich meine insbesondere den Punkt, daß Admins unter
User sind.
Genau das würde ich nicht machen.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
unknown
2009-03-26 14:43:48 UTC
Permalink
Hallo Winfried,

"Winfried Sonntag [MVP]" schrieb

[...]
Post by Winfried Sonntag [MVP]
Kann überhaupt nicht schaden. ;)
...Schön, daß Du die grundsätzliche Aufteilung OK findest. Also nicht zu
kompliziert?
Post by Winfried Sonntag [MVP]
Hab ich meine Beispiel-GPO für den WSUS schon gepostet? Hmm, egal, hier
ist sie: http://www.wsus.de/images/WSUSGPO.png
Ja danke (hattest Du schon). Mit ähnlichen Einstellungen hatte ich schon mit
lokalen Richtlinien getestet, hat auch funktioniert. Jetzt bin ich erstmal
den anderen Weg gegangen, so daß Updates nur ermittelt und heruntergeladen
werden und beim Systemabschluß (oh was für ein antiquiertes Wort ;-), ist
mir grad wieder eingefallen) die Updates als Standardauswahl zur
Installation angeboten werden.
Post by Winfried Sonntag [MVP]
Post by unknown
Gibt es was zu mäkeln? Ich meine insbesondere den Punkt, daß Admins unter
User sind.
Genau das würde ich nicht machen.
Ja ich glaub das muß ich mir noch anders überlegen. Konsequenterweise sollte
ich dann wohl auch die Administratoren-PCs auch da unten rausnehmen und eine
Ebene höher setzen ;-). Oder gleich zwei Ebenen höher direkt unter die
Domäne?

Also, die entsprechende WSUS-Richtlinie hab ich mit der GPMC erstellt und
auf die OU Clients verlinkt. Mit gpresult überprüft, funzt prima ;-))).

Gruß, Josef
unknown
2009-03-26 15:31:43 UTC
Permalink
Post by unknown
- domain.net
- OBER-OU
- Benutzer
- Superuser
- Anwender
- Clients
- Notebooks
- Superuser-PCs
- Anwender-PCs
- Server
- Datenbankserver
- Exchangeserver
- Mitgliedsserver
- Gruppen
- Sicherheitsgruppen
- Verteilergruppen
- Administratoren
Dachte mir, in die OU "Administratoren" unterhalb der "OBER-OU" schieb die
dann die Administratoren-Benutzer sowie die Administratoren-PCs, sonst
wirds irgendwie zuviel des Guten. Oder soll ich die Admin-OU noch eine Stufe
höher direkt unter die Domäne hängen?

Servus, Josef
Winfried Sonntag [MVP]
2009-03-26 18:25:15 UTC
Permalink
Oder soll ich die Admin-OU noch eine Stufe höher direkt unter die
Domäne hängen?
So würde ich es machen.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Winfried Sonntag [MVP]
2009-03-26 15:47:39 UTC
Permalink
Post by unknown
"Winfried Sonntag [MVP]" schrieb
[...]
Post by Winfried Sonntag [MVP]
Kann überhaupt nicht schaden. ;)
...Schön, daß Du die grundsätzliche Aufteilung OK findest. Also nicht zu
kompliziert?
Hmm, bei mir ist es etwas einfacher aufgeteilt. ;) Aber Du kommst im
Laufe der Jahre schon selbst drauf, wie es für Dich und Deine
Administration am besten gehen könnte. So wie meine OU-Struktur
aussieht, hat sie am Anfang nicht ausgesehen. ;)
Post by unknown
Also, die entsprechende WSUS-Richtlinie hab ich mit der GPMC erstellt und
auf die OU Clients verlinkt. Mit gpresult überprüft, funzt prima ;-))).
Freut mich für Dich. Auf welcher Ebene hast Du die GPO verlinkt?

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
unknown
2009-03-27 06:54:00 UTC
Permalink
Hallo Winfried,

"Winfried Sonntag [MVP]" schrieb
Post by Winfried Sonntag [MVP]
Post by unknown
Also, die entsprechende WSUS-Richtlinie hab ich mit der GPMC erstellt und
auf die OU Clients verlinkt. Mit gpresult überprüft, funzt prima ;-))).
Freut mich für Dich. Auf welcher Ebene hast Du die GPO verlinkt?
Wie oben geschrieben auf die OU Clients. Das ist dann gleich die Ebene unter
der "Ober-OU" nach der Domäne, drunter kommen noch "Anwender-PC?s" und
Superuser-PC" sowie "Notebooks", auf die dann die Richtlinie alle wirkt.
Außerdem noch auf die OU "Administratoren", denn die sollen auch die Updates
vom Updateserver ziehen. Um was andres gehts in dieser Richtlinie erstmal
nicht.

Servus,
Josef
Nils Kaczenski [MVP]
2009-03-28 15:56:34 UTC
Permalink
Moin,
Post by Andy Wendel
Ich spreche hier aus Erfahrung - und wenn man eine sogenannte Ober-Ou
hat - kann man darauf alles verlinken - was den Admin nicht betrifft...
für Admins und Dienstkonten legt man eine eigene OU auf Root-Ebene an.
Die normalen Objekte kommen in parallele OUs.
Post by Andy Wendel
Einfach sicherer...
Es gibt kein per se "sicheres" Design.
Post by Andy Wendel
Nicht jeder weiß 100%ig was er tut
Nur du, oder wie? ROTFL. Sorry, Andy, aber mit diesem Thread hast du dir
keinen Gefallen getan.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Andy Wendel
2009-03-28 17:39:13 UTC
Permalink
Hallo Nils Kaczenski [MVP],
Post by Nils Kaczenski [MVP]
Post by Andy Wendel
Nicht jeder weiß 100%ig was er tut
Nur du, oder wie? ROTFL. Sorry, Andy, aber mit diesem Thread hast du
dir keinen Gefallen getan.
Das habe ich damit nicht gesagt - das ist einfach ein Spruch - und kein Mantra,
Nils.
Genauso ein Spruch wie: "das wird wieder". ( daraus leitet auch keiner ab,
das alles wieder wird... )

Gefallen oder nicht - zu dem Spruch von mir habe ich bereits was gesagt -das
er evt. nen bisserl zu heftig war - auch ich denke mal nicht 100%ig nach
- s.o.

Ich denke das durch meine Aussage viel ins Rollen gebracht wurde ( was evt.
vorher auch oder evt. auch nicht ) passiert wäre.

Man sollte die Aussagen nicht immer 100% ummünzen - ich bin nicht der Papst
und daher nicht unfehlbar :-)


Gruß

And
Nils Kaczenski [MVP]
2009-03-28 15:51:51 UTC
Permalink
Moin,
Post by Andy Wendel
Post by Florian Frommherz [MVP]
Für den Anfang würde ich dir vorschlagen, zwei OUs direkt unter der
Domäne zu erstellen: "Benutzer" und "Computer". Unterhalb dieser OUs
Sorry Florian - aber ein absoluter Design-Fehler.
sorry, Andy, aber das ist absoluter ****sinn.
Post by Andy Wendel
Unterhalb der Domäne baut man nur eine OU auf - bsp. TraiCen - darunter
kommen alle anderen OUs....
Kann man machen, muss man aber nicht. Und daher ist dein Vorwurf
"absoluter Design-Fehler" ausgesprochen daneben.
Post by Andy Wendel
Der Sinn ist, nicht eine große Anzahl von OUs direkt unter dem Baum zu haben.
Dafür hat man nach deinem Vorschlag in den meisten Umgebungen eine
völlig überfüssige Zwischenebene. Und nu?
Post by Andy Wendel
Jaja - es sind zZt nur 2 - aber bald sind es mehr (
Gruppen/Verteilerlisten etc. )
Mein Standardentwurf, von dem aus ich bei Kunden eine Diskussion
beginne, hat auf der obersten Ebene fünf neue OUs.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Andy Wendel
2009-03-28 17:44:27 UTC
Permalink
Hallo Nils
Post by Nils Kaczenski [MVP]
Post by Andy Wendel
Sorry Florian - aber ein absoluter Design-Fehler.
sorry, Andy, aber das ist absoluter ****sinn.
Hast Du mein Reply auf Flos antwort schon gelesen?

Da habe ich mich für evt. gefühlte Härte der Aussage entschuldigt...
Post by Nils Kaczenski [MVP]
Kann man machen, muss man aber nicht. Und daher ist dein Vorwurf
"absoluter Design-Fehler" ausgesprochen daneben.
Nils - ich habe im Thread doch schon längst gesagt daß es auch andere Möglichkeiten
gibt - und meine Aussage in Teilen geändert...

Lies doch bitte den gesamten Thread - dann wird das klarer....


Viele Kunden von uns bedanken sich im nachhinein für dieses Konzept, da hier
evt. Fehler in der DDP bei GPO nicht die Admins betrifft...

Anders geht immer - da gebe ich Dir recht.

Ich habe mich einfach blöde ausgedrückt... - und dafür auch schon entschuldigt...


Der

And
Nils Kaczenski [MVP]
2009-03-29 11:18:32 UTC
Permalink
Moin,
Post by Andy Wendel
Hast Du mein Reply auf Flos antwort schon gelesen?
ja, aber natürlich erst danach. Da hatte mein Beißreflex schon reagiert. ;-)


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Mark Heitbrink [MVP]
2009-03-29 19:50:17 UTC
Permalink
Hi,
Post by Nils Kaczenski [MVP]
ja, aber natürlich erst danach. Da hatte mein Beißreflex schon reagiert. ;-)
Der ist aber diesmal sehr spät erst ausgelöst worden. Das kommt davon
wenn man "nacharbeitet" :-))

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Nils Kaczenski [MVP]
2009-03-29 23:28:04 UTC
Permalink
Moin,
Post by Mark Heitbrink [MVP]
Der ist aber diesmal sehr spät erst ausgelöst worden. Das kommt davon
wenn man "nacharbeitet" :-))
der Traffic ist mittlerweile so gering, dass ich an vielen Tagen gar
nicht erst nachsehe. Das führt dann zu solchen Lücken. Aber die Reflexe,
die gehen noch! ;-)


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Andy Wendel
2009-03-28 17:46:32 UTC
Permalink
Hallo Nils
Post by Nils Kaczenski [MVP]
Post by Andy Wendel
Sorry Florian - aber ein absoluter Design-Fehler.
sorry, Andy, aber das ist absoluter ****sinn.
Hast Du mein Reply auf Flos antwort schon gelesen?

Da habe ich mich für evt. gefühlte Härte der Aussage entschuldigt...
Post by Nils Kaczenski [MVP]
Kann man machen, muss man aber nicht. Und daher ist dein Vorwurf
"absoluter Design-Fehler" ausgesprochen daneben.
Nils - ich habe im Thread doch schon längst gesagt daß es auch andere Möglichkeiten
gibt - und meine Aussage in Teilen geändert...

Lies doch bitte den gesamten Thread - dann wird das klarer....


Viele Kunden von uns bedanken sich im nachhinein für dieses Konzept, da hier
evt. Fehler in der DDP bei GPO nicht die Admins betrifft...

Anders geht immer - da gebe ich Dir recht.

Ich habe mich einfach blöde ausgedrückt... - und dafür auch schon entschuldigt...


Der

And
Loading...