Zugriffssteuerung per OU - wie?

[Kantholy]

Hallo Leute, ich habe ein kleines Anliegen, und zwar:

Ich experimentiere seit neuestem mit dem Windows Server 2008 und dem Active Directory rum... (jaja, ich weiss, falsches Forum, aber hier erreich ich hoffentlich mehr Leute, da es genauso funktionieren sollte)

Naja, ich komme eigentlich aus der Novell Schiene und wollts mir halt mal angucken, egal, zurück zum Thema:

Aus der eDirectory Umgebung bin ich es gewohnt, dass die OU alle Rechte und diese für die Benutzer in der OU vererbt werden...

Selbiges möchte ich gerne mit dem Active Directory herstellen, ich bin bereits auf die Netzlaufwerk per Group Policy mounten Funktion gestoßen, jetzt müsste ich quasi nur noch NTFS Rechte auf mein Abteilungsverzeichnis vergeben ohne die Benutzer in einem 2. Schritt manuell in eine Benutzergruppe stecken zu müssen...

Ich kenne keinen genauen Lösungsweg aber ich könnte zwei vorstellen, habe allerdings keine Ahnung wie bzw. ob es überhaupt funktioniert:

• NTFS Rechte einer OU zuteilen
• Group Policy dazu bringen alle Benutzer in der OU in eine Gruppe zu stecken

oder gibts noch mehr Ansätze für diesen Punkt?

 

[s1o]

also ich weis nicht ob ich dich richtig verstanden habe, aber NTFS rechte gehen nur auf Benutzer und Gruppen. D.h. 1. scheidet aus und deine 2. Idee funktioniert auch nicht. Aber wenn du sowas simples willst, wie alle Benutzer einer OU in ne Gruppe zu stecken, dann geh einfach in die OU markier alle User (strg+a) und füge sie mit der Rechten Maustaste einer Gruppe zu. Meintest du das?

Edit:
Btw. ich würde dir empfehlen die Netzlaufwerke mit dem Logon Skript zu mounten und nicht über GPOs.

 

[Kantholy]

klasse, das heisst ich darf 2 Schritte bei einem Benutzerumzug machen, zum einen muss ich den Benutzer in ne andere OU schieben und dann noch manuell seine Rechte auf das Abteilungsverzeichnis ändern...

Also wenn ich ehrlich sein darf, das suckt ja mal richtig...

Btw: Logonscript wird doch auch über die Group Policy gestartet, also warum nicht gleich in der GPO eintragen?

 

[.mojo]

dann mach doch ne Gruppe, in die nimmst du alle Benutzer der OU auf und gibts der Gruppe die Rechte.

 

[Kantholy]

naja, hab ich ja das selbe Problem wieder

Zur Verdeutlichung:

Benutzer Meier wechselt von der Marketing Abteilung (MKT) in den Customer Service (CS).

Active Directory:
Ich editier in der OU MKT die Gruppe MKT und lösch den Benutzer Meier da raus, danach pack ich den Meier selber an und verschieb ihn in die Abteilung CS, danach füg ich den dann in die Gruppe CS hinzu...


eDirectory
Ich verschiebe den Meier von der OU MKT nach CS, alle Rechte sind an die OUs vergeben, also Rechte auf Ordner, Rechte auf Applikationen, etc


Somit hab ich beim eDirectory den Vorteil, dass ich zum einen weniger Klicks benötige um das selbe zu erreichen und zum anderen fällt hier eine mögliche Fehlerquelle weg...


wenn Microsoft also IRGENTWAS auf sein AD hält, muss es ja eine Möglichkeit geben, das selbe wie beim eDir mit dem AD zu erreichen

 

[Frightener]

Wenn die Gruppe CS in der OU CS liegt reicht es doch, den Benutzer aus der Gruppe MKT raus- und in die Gruppe CS aufzunehmen.

 

[s1o]

richtig @FBrenner
und abgesehen davon, musst du ja nicht schachteln, dann hast du das problem auch nicht.

Das logon Skript wird beim anmelden an der Domain ausgeführt und ist schlicht und ergreifend "DER" Weg den MS empfiehlt. Deshalb denk ich nicht groß nach un mach es. Ich hatte nie Probleme, es lässt sich damit noch mehr machen (Virenscanner verteilen, Zeitsynch., etc.) und es lässt sich meiner Meinung nach schneller und besser anpassen als ne GPO.

 

[.mojo]

richtig. Acuh hat man bei den GPOs manches mal das Problem, dass sie nicht direkt, oder nicht richtig greifen.
Das Startscript hingegen läuft immer.

 

[s1o]

stimmt.

kann mich an momente erinnern in denen ich verzweifelt bin:
GPupdate -force
"Wieso nimmt der die trotzdem nicht?"

^^

 

[Frightener]

Ich verzweifle zwar auch regelmäßig bei den Gruppenrichtlinien, allerdings hat das Zuweisen der Login-Skripte per Gruppenrichtlinie immer funktioniert

In größeren Netzwerken mit mehreren Standorten kann das schon Sinn machen.

 

[Kantholy]

tja, nur leider kann ich mein Problem damit nicht lösen, also ich sag mal so: In diesem Punkt (Threadthema) hat Novell eindeutig die Nase vorn, aber je länger ich mir dieses Active Directory so angucke, je größer wird mein Verlangen wieder mit Novell zu arbeiten :-)

ich finde es alles in allem sehr umständlich gelöst...

Naja, wie auch immer, mein ursprünglicher Gedanke dass ich die Netzfreigaben und Rechte per OU verwalten kann, scheint ja mit dem ach so hochgelobten Active Directory nicht zu funktionieren. Schade.

 

[s1o]

1. Zur MS Schulung gehen
2. Erlerntes Wissen anweden
3. Alles Top

oder nimm Novell, aber ich kann mir schon vorstellen warum jetzt mit MS konfrontiert wirst.

 

[Kantholy]

erzähl?
Ich guck mir den Windows Server 2008 nur mal so nebenbei an - verwenden werd ich dieses Active Directory nicht, ist mir zu umständlich...

ach ja: für Novell hab ich keine Schulung gebraucht ums zu verstehen...

 

[s1o]

Mag sein das es intuitiver zu bedienen ist.
Aber aktuell dominiert AD und das wohl nicht zu unrecht.
Ich mein das ganze MS geh8e ist blödsinn. Denn Bill hats erstens richtig gemacht und zweitens hat es sich ja offensichtlicherweise durchgesetzt.