Fråga ang. Användare- och Grupp(?)-Hierarki i AD på WinServer 2012

Hej!

Jag söker lite expertis inom hur det rekommenderas att användar- och grupp-hierarkin byggs upp i AD då det är första gången jag leker med detta.

Min första tanke var att lägga alla användare i Users-mappen eftersom denna är default, men efter att ha läst runt lite så upptäckte jag att en del la sina användare direkt i rooten på domänen. Vilket dera är lämpligast? Eller är jag ute och cyklar?

Nästa steg; gruppering av användarna. Med ovanstående i åtanke började jag tänka att jag kanske skulle göre egna containrar för olika grupper i rooten. Här stöter jag dock på patrull, det går inte att skapa containrar.. eller åtminstone hittar jag inte var.

Vad jag nu slutligen har kommit fram till för användare är att jag ska ha dessa i Users-mappen. Grupperna/containrarna är jag fortfarande lite osäker på, då jag kom fram till att jag bara kan signa en användare till en grupp och inte "fysiskt" placera honom där. Ska mina grupper ligga i rooten eller i Users-mappen?

Fråga gärna om det behövs någon annan info. Om det inte redan framgått är det alltså mitt hemnätverk detta handlar om, där denna server är den enda.

Tacksam för tips
//atriix

Håller på att modellera lite på hur det kan se ut...
Kom fram till detta:

[Hem] (OU)
-[Konton] (OU)
--[Familj] (OU)
--[Vänner] (OU)

-[Adminkonto] (OU)

-[Grupper] (OU)
--[Lanåtkomst] (Grupp)
--[Spelare] (Grupp)
--[vpnåtkomst] (Grupp)

Ser detta ut att kunna vara en någorlunda start?
Sedan tänkte jag på rent kontomässigt, borde jag ha ett annat admin konto än det som är default under Users för domänen? Annars tänker jag mig att t.ex. installationer och dylikt görs från default admin kontot även om jag lägger till mitt eget "vanliga"-konto i default gruppen "Administratörer" för inte få några problem med rättigheter osv. Egentliga frågan är alltså om jag borde ha en OU enligt oven för ett admin konto extra eller om det bara är onödigt.

Grouppolicy och att lägga till datorer i domänen måste jag ta o läsa på mer innan jag bombar här med frågor

Tackar Börjar hänga med på hur saker och ting hänger ihop nu

Mao blir det så här då:
[Hem] (OU)
-[Konton] (OU)
--[Familj] (OU)
--[Vänner] (OU)

-[Grupper] (OU)
--[Lanåtkomst] (Grupp)
--[Spelare] (Grupp)
--[vpnåtkomst] (Grupp)

[Users]
-Administrator (anv)

Upptäckte Windwos redan lagt till honom i domän admin också.

EDIT:
När man skapar grupper så räcker det väll att ha de på domän lokal nivå och inte ha de globalt?

Bra info

Har en simpel (tror jag) fråga till;
---[Löste problemet till viss del]
Hittade en checkbox i adapter inställningarna på clienten som sa att endast att den endast skulle använda default gateway på remoteclienten. Dock kvarstår fortfarande frågan om hur man kan göra detta genom GPO istället.
---
Jag har nu lyckats få till ADn och där till användare, sedan har jag fått till en VPN med hjälp av denna och givit en AD användare tillåtelse att ansluta. So far, so good. Men efter att jag anslutit till VPNn så tappar jag internet åtkomsten på ethernet adaptern (inget internet från VPNn heller).
Status är alltså följande;
VPN (Connected)
Ethernet (Limited)

Min fråga är hur jag kan åtgärda detta. VPNn står på dynamisk utdelning av ip-adresser. Har provat att ansluta både på intern och extern ip med samma resultat. Datorn är inte ansluten till domänen och jag är inloggad med ett MS-konto på den.

Syftet med VPNn är att komma åt shares på servern (även senare en NAS på nätverket) samt RDP utifrån, att routa all nätverkstrafik genom den är jag inte intresserad av.

Hur kan jag lösa detta? (Hoppas jag gjorde mig förstådd, blev lite surrigt)