Active Directory.pdf - Gattner

58 Kapitel 2: Active Directory-Domänendienstkomponenten
Der Benutzer, dem die Administratorrechte für eine OU erteilt werden, verfügt außerhalb der OU
nicht standardmäßig über Administratorrechte.
Die OU-Struktur ist im Hinblick auf das Zuweisen von Rechten (in vielen Windows-Dialogfeldern
und -Eigenschaftenfenstern auch als Berechtigungen bezeichnet) für die Objekte innerhalb der OU
äußerst flexibel. Die OU selbst verfügt über eine Zugriffssteuerungsliste (Access Control List, ACL),
um Rechte für diese OU zuweisen zu können. Darüber hinaus verfügen sämtliche Objekte in einer
OU und sogar alle Attribute für jedes Objekt über eine ACL. Dies bedeutet, dass sich die Administratorrechte
der verschiedenen Benutzer für die OU äußerst präzise verwalten lassen. So kann einer
Gruppe Helpdesk beispielsweise die Berechtigung zum Ändern der Kennwörter für die Benutzer in
einer OU zugewiesen werden, während andere Eigenschaften für das Benutzerkonto jedoch nicht
geändert werden dürfen. Oder Sie weisen der OU Personalabteilung Berechtigungen zum Ändern von
persönlichen Informationen für sämtliche Benutzerkonten in allen OUs zu, erteilen den Mitgliedern
dieser Abteilung jedoch keine weiteren Berechtigungen für die übrigen Attribute der Benutzerkonten
oder Rechte für andere Objekte. Wenn für einige Objekte andere Berechtigungen festgelegt werden
sollen als für andere Objekte innerhalb einer OU, können die Berechtigungen auch für einzelne
Objekte zugewiesen werden.
Verwenden von OUs zum Verwalten von Objektgruppen
Ein weiterer Grund für die Verwendung von OUs ist das Gruppieren von Objekten, um diese identisch
zu verwalten. Wenn beispielsweise alle Arbeitsstationen in einer Abteilung identisch verwaltet
werden sollen (z.B. um einzuschränken, welche Benutzer sich an diesen Arbeitsstationen anmelden
dürfen), können Sie sämtliche Arbeitsstationen in einer OU gruppieren und die Berechtigung Lokal
anmelden auf OU-Ebene konfigurieren. Diese Berechtigung wird anschließend auf alle Arbeitsstationen
in der OU angewendet. Wenn eine Gruppe von Benutzern dieselbe standardmäßige Desktopkonfiguration
und dieselben Anwendungen benötigt, können die Benutzer in einer OU zusammengefasst
werden, und mithilfe von Gruppenrichtlinien können Sie anschließend den Desktop konfigurieren und
die Installation der Anwendungen verwalten.
In vielen Fällen werden die Objekte in einer OU über Gruppenrichtlinien verwaltet. Mithilfe von
Gruppenrichtlinien können Sie Benutzerdesktops sperren und einen standardisierten Desktop, Anund
Abmeldeskripts sowie die Ordnerumleitung für diese Benutzer bereitstellen. Tabelle 2.3 enthält
eine kurze Liste der für Gruppenrichtlinien verfügbaren Einstellungstypen.
Tabelle 2.3
Einstellungstypen für Gruppenrichtlinien
Einstellungstypen
Administrative Vorlagen
Sicherheit
Softwareinstallation
Skripts
Erläuterung
Diese Vorlagen werden zur Verwaltung von registrierungsbasierten Parametern für die
Konfiguration von Anwendungs- und Benutzerdesktopeinstellungen verwendet. Dies
umfasst den Zugriff auf die Betriebssystemkomponenten, den Zugriff auf die Systemsteuerung
sowie die Konfiguration von Offlinedateien.
Diese Einstellungen werden zur Verwaltung von lokalen Computern, Domänen und Netzwerksicherheitseinstellungen
verwendet. Dies umfasst das Steuern des Benutzerzugriffs
auf das Netzwerk, das Konfigurieren von Kontorichtlinien sowie das Steuern von
Benutzerrechten.
Diese Einstellungen werden zum Zentralisieren der Verwaltung von Softwareinstallationen
und -wartung verwendet.
Diese Einstellungen werden zum Angeben von Skripts verwendet, die beim Starten
oder Herunterfahren eines Computers bzw. beim An- oder Abmelden eines Benutzers
ausgeführt werden können.