3 Replies Latest reply on Apr 19, 2010 5:44 AM by sbr2

    Geschachtelte (statische) Gruppen

    FrankScholer Master
      Hi zusammen,

      mir hat schon ein paar Mal - gerade für größere Umgebungen - das Feature gefehlt, dass in v6 keine "Gruppen in Gruppen" aufgenommen werden können (für dezentrale Administration).

      Wäre für mich wirklich wichtig, wenn das in v7 verfügbar wäre - so wie es ja auch im AD seit längerem geht und (zumindest meiner Erfahrung nach) auch intensiv genutzt wird. Sollte vom Implementierungsaufwand meiner Einschätzung nach auch überschaubar sein...

      Grüße Frank
        • 1. Re: Geschachtelte (statische) Gruppen
          ChristophSteckelberg Expert
          Hallo Frank

          macht in meinen Augen nur zu Sortierzwecken Sinn.
          Das letzte mal als ich es getestet habe, konnte man zwar Rollen mit Gruppen verbinden, aber deren Berechtigungen haben dann nicht gezogen. Ist jetzt schon ein knappes Jahr her, weiss auch nicht ob sich das mittlerweile geändert hat, aber solange das nicht funktioniert sehe ich in verschachtelten statischen Gruppen nur den Vorteil, dass ich Installationsvoraussetzungen die mehrere andere Pakete brauchen auf die übergeordnete Gruppe legen kann.
          Technisch gesehen kann ich aber genau das entweder per IsInstalled oder einer Policy mit mehreren Targets für die Installationsvoraussetzung (2 grüne Haken im Complianceview, wenn ein Computer im Scope mehrerer Ziele ist) erreichen.

          Vielleicht denkst Du aber auch an andere Einsatzzwecke. Was meinst Du mit dezentraler Administration ?

          Grüße,
          Christoph
          • 2. Re: Geschachtelte (statische) Gruppen
            FrankScholer Master
            Hallo Christoph,


            Vielleicht denkst Du aber auch an andere Einsatzzwecke. Was meinst Du  mit dezentraler Administration ?

            In größeren Umgebungen hatte ich das schon öfters, dass es im AD in ner zentralen OU Gruppen gab, die nur Gruppen aus untergeordneten OUs enthielten. Die Gruppenmitglieder aus den untergeordneten Gruppen können von Vor-Ort-Personal gepflegt werden, während diese "Standort-Admins" aber keine Rechte auf die zentralen AD-Bereiche haben, an denen aber die Berechtigungen festgemacht werden...

            Beispiel für v6: ich möchte eine Individual-Software verteilen können. Lege mir also "recht weit oben" im ODS ein statische Gruppe an und lege darauf ne Policy für diese Individual-Software. Wenn ich jetzt meinen Standort-Admins die Möglichkeit geben will, dass sie "ihre" Rechner in diese Gruppe aufnehmen (diese Standort-Admins haben natürlich nicht im ganzen ODS Rechte, sondern nur auf "ihrem" Zweig), dann muss ich ihnen Change-Rechte auf die (zentrale) Gruppe geben und sie können z.B. auch Rechner, die "garnicht ihnen gehören" aus der Gruppe entfernen (durchaus versehentlich).

            Lieber wär mir's aber, ich lege noch in jedem Zweig ne weitere statische Gruppe an und füge diese dezentralen Gruppen einfach der zentralen Gruppe hinzu. Dann könnte jeder Standort-Admin "seine" Gruppe pflegen (und dadurch auch keine Rechner aus der zentralen Gruppe rauslöschen, die nicht in seinem Verantwortungsbereich liegen) und wir hätten eine wunderbare dezentrale Administration...

            Hoffe, ich konnte mich verständlich ausdrücken ;-)

            Grüße Frank
            • 3. Re: Geschachtelte (statische) Gruppen
              sbr2 Expert
              Das gehört für mich zwingend dazu und sind genau die Features die enteo irgendwann wieder Mandaten fähig machen würde.