MS Gruppenrichtlinie: OUs wie/wo anlegen?

german

#1

Hallo Forum,

um gewisse Policies nur bestimmten PCs zuzuordnen, wollte ich diese in eine spezifische OU z.B. “management_pcs” fassen.
Dabei sah ich, dass die LDAP-Struktur auf UCS grundsätzlich anders als z.B. bei MS SBS AD aussieht, in der MS Gruppenrichtlinienverwaltung sehe ich z.B. überhaupt keine OU für Computer oder User?
In UMC > Domain > LDAP wollte ich nun OUs anlegen, aber wenn ich z.B. im Container “computer” (dort liegen Rechner-Objekte ja standardmäßig) einen Sub-Ordner z.B. “management_pcs” anlegen will, so bekomme ich Fehlermeldung, dass Typ OU nicht unter Typ cn angelegt werden darf.

Wie arbeitet man bei UCS mit OUs? Muss man diese (wo) anlegen und wie bekomme ich Rechner- oder User-Objekte diesen OUs zugeordnet, die Original-Objekte liegen doch in den cn-Containern “users” & “computers”.

Danke,
Robert


#2

Moin,

Sie können statt dessen einen Container vom Typ »Container« anlegen (»Container: Container« anstelle von »Container: Organsationseinheit«). Beim Anlegen können Sie dann unter den erweiterten Einstellungen auch noch den Haken bei »Zu Standard-Rechner-Containern hinzufügen« setzen, damit Sie beim Neuanlegen von Rechnern gleich diesen neuen Container als Speicherort auswählen können.

Existierende Rechner können Sie dann auch in diesen neuen Container verschieben. Das geht sowohl im »LDAP-Verzeichnis«-Modul als auch im Modul für »Rechner«, indem Sie das Objekt anhaken, dann »Mehr« und dort »Verschieben nach…« auswählen.


#3

Hallo zusammen,

Stimmt, dann tritt die Fehlermeldung nicht auf. Allerdings können an Containern leider keine GPOs verknüpft werden. Ich fange mal vorne an:

Das ist - wenn ich mich recht erinnere - erstmal eine Annehmlichkeit des SBS. In einem “ausgewachsenen” Windows Server Standard/Enterprise habe ich ähnlich wie bei UCS keine vordefinierten OUs (mit Ausnahme “Domain Controllers”, afaik). D.h. da ist Handarbeit angesagt. Ist vermutlich auch nicht verkehrt, da es zur optimalen Strukturierung das LDAPs ja mindestens so viele Meinungen wie LDAP-Admins gibt.

Stimmt, so rum (OUs unterhalb von Containern) ist das im AD nicht erlaubt. (Umgekehrt allerdings schon, also Container unterhalb von OUs)

Das war grundsätzlich schon der richtige Weg. Das Einfachste ist vermutlich neue OUs unterhalb der LDAP-Basis anzulegen, also z.B.
[ul]
[li] OU=computer (ohne ‘s’ um Namenskonflikte zu vermeiden)[/li]
[li] --> OU=management_pcs[/li]
[li] --> OU=admin_pcs[/li]
[li] --> …[/li][/ul]

Und anschließend die vorhandenen Rechnerobjekte wie von Moritz Bunkus beschrieben in die richtige OU verschieben.

Ich hoffe das hilft.

Schönen Gruß,
Michael Grandjean