Organizational Units ?

[Sicker]

hallo,

ich muss ein referat für die schule mit dem thema "von nt auf active directory" vorbereiten....ich denke,dass ich mein material schon ausreichend und nützlich zusamengesucht habe,doch stellt sich mir eine frage bezüglich den organizational units..ich einem teil meiner literatur zu active directory habe ich folgenden satz entdeckt:

Der erwähnenswerteste Punkt bei Organizational Units ist, dass innerhalb einer OU bestimmte Rechte an

beliebige Benutzer vergeben werden können (siehe Sicherheit).

So kann ich einem Benutzer erlauben, die Userdaten anderer Benutzer zu ändern, ohne ihn in die Gruppe der

Administratoren oder Kontenoperatoren übernehmen zu müssen.

da stellt sich mir die frage: ging das bent nich auch manuell in der benutzerverwaltung ? kann man bei diesem os nich ein recht manuell einem user, egal welcher gruppe er zugehört, zuordnen wie bei oben genanntem beispiel oder konnten user nur in starr definierte gruppen wie admin,user,gast,... aufgeteilt werden ? waren dort keine organizational units vorhanden ? sind OUs nicht vergleichbar mit lokalen,globalen und universalen gruppen (sind ja schließlich auch containerobjekte) ? --> war die einführung als begriff nich überflüssig ?

[wax108]

Ich glaube was Du gelesen hast sind User die administrative Rechte auf bestimmte OU's haben. Es gab vorher keine OUs. Ous sind mehr als eine Gruppe:

Organisationseinheiten sind Objekte im Active Directory, die einen Container darstel-len. Dieser Container kann andere Organisationseinheiten, Benutzer und Computer aufnehmen. Es gibt keine feste Regelung, wie Organisationseinheiten eingesetzt werden sollten. Denkbar ist, die Organisationsstruktur abzubilden, d. h., man kann aufgrund des Organigramms Abteilungen in Form von Organisationseinheiten anle-gen. Dieser Ansatz ist vorstellbar, wenn die verschiedenen Abteilungen spezielle Anwendungen verwenden und diesbezüglich ähnliche Rechte benötigen.

Auf der anderen Seite ist es auch möglich, Organisationseinheiten aus Sicht der Ad-ministration einzurichten, um zum Beispiel verschiedene Computer, Anwender und Gruppen, die ähnliche Rechte oder Aufgaben besitzen, zu gruppieren und damit leichter administrieren zu können.

Ein Vorteil von Organisationseinheiten ist, dass sich Gruppenrichtlinien auf sie an-wenden lassen. So kann der Desktop oder die Laufwerke der Mitglieder einer Orga-nisationseinheit kontrolliert werden.

Kontorichtlinien wie die Lebensdauer eines Passwortes oder die Anzahl der falsch eingegebenen Passwörter lassen sich weder auf Organisationseinheiten noch auf Standorte anwenden, denn die Kontorichtlinien werden einmalig domänenweit fest-gelegt.

Wenn es bei größeren komplexeren Netzwerken gewünscht ist, administrative Auf-gaben an Mitarbeiter aus Abteilungen zu verteilen, um z.B. Passwörter zurücksetzen oder neue Anwender anlegen zu dürfen, lässt sich dies auch durch Organisations-einheiten in Verbindung mit den Gruppenrichtlinien realisieren.

Es ist eine Entscheidung zu treffen, ob Organisationseinheiten oder Subdomänen gebildet werden sollen. Diese Entscheidung bringt einen ausschlaggebenden Unter-schied mit sich: Der Replikaktionsdienst muss, sofern Organisationseinheiten ver-wendet werden, immer dann wenn, z.B. ein Passwort eines Anwenders geändert wird, eine Replikation zwischen den verschiedenen Domänencontrollern ausführen. Somit stellt sich dieses Prinzip als schwierig dar, wenn zwei Domänencontroller der-selben Domäne weit voneinander entfernt sind und über eine schmalbandige bzw. kostenintensive Leitung verbunden sind.

[Sicker]

hi,

ich danke dir für deine ausführliche antwort ! nur noch eine frage, die mir mal schnell eingefallen ist: du sagst,dass es bei nt keine OUs gab.bei nt gab es gar keine containerobjekte ? konnte man da nicht auch einfach eine neue gruppe erstellen, dort irgendwelche user reinpacken, und dieser gruppe bestimmte rechte zuweisen ? oder ist das ein hauptgrund warum win 2000 flexibler ist ?

[Terran Marine]

Original geschrieben von Sicker

hi,

ich danke dir für deine ausführliche antwort ! nur noch eine frage, die mir mal schnell eingefallen ist: du sagst,dass es bei nt keine OUs gab.bei nt gab es gar keine containerobjekte ? konnte man da nicht auch einfach eine neue gruppe erstellen, dort irgendwelche user reinpacken, und dieser gruppe bestimmte rechte zuweisen ? oder ist das ein hauptgrund warum win 2000 flexibler ist ?

Bei NT4 gibt es Globale und lokale Gruppen, lokale Gruppen konnten in Globale Gruppen gesteckt werden, Benutzer in beide Gruppen, mehr Hierachie ist nicht möglich.

Die Berechtigungeneinstellungen sind im Vergleich zu einer ADS mit OUs nur sehr eingeschränkt möglich (bsp. Zuweisung von Admin-Rechten).

Gruß

Terran Marine