2
GPO nur auf bestimmten Clients anwenden
Hallo,
ich habe eine GPO erstellt, welche es erlaubt bestimmten Usern aus einer Gruppe lokale Adminrechte zu erhalten.
Nun würde ich das Ganze aber noch auf vordefinierte Clients einschränken.
Also eine Gruppe Clients erstellt und in der Sicherunsgfilterung die Gruppe hinterlegt( keine weiteren Einträge ).
In der Delegierung ist die Gruppe ebenfalls hinterlegt, sowie alle Domänen Computer.
Leider greift das ganze nicht wie gewünscht.
Wenn ich jedoch einen PC aus der Gruppe explizit in der Delegierung eintrage geht es. Nur in der Gruppenmitgliedschaft nicht,
Hat mir hier jemand eine Tip?
Vielen Dank.
ich habe eine GPO erstellt, welche es erlaubt bestimmten Usern aus einer Gruppe lokale Adminrechte zu erhalten.
Nun würde ich das Ganze aber noch auf vordefinierte Clients einschränken.
Also eine Gruppe Clients erstellt und in der Sicherunsgfilterung die Gruppe hinterlegt( keine weiteren Einträge ).
In der Delegierung ist die Gruppe ebenfalls hinterlegt, sowie alle Domänen Computer.
Leider greift das ganze nicht wie gewünscht.
Wenn ich jedoch einen PC aus der Gruppe explizit in der Delegierung eintrage geht es. Nur in der Gruppenmitgliedschaft nicht,
Hat mir hier jemand eine Tip?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1346398741
Url: https://administrator.de/contentid/1346398741
Printed on: April 28, 2024 at 07:04 o'clock
2 Comments
Latest comment
Hi,
auch ein Computer muss erst sein Sitzungstoken erneuern, bevor er seine neue Gruppenmitgliedschaft kennt. Am einfachsten den Client durchstarten, wenn man ihn in eine Gruppe aufnimmt oder davon entfernt, damit das wirkt.
Alternativ unter der Anmeldung von SYSTEM ausführen:
Das geht entweder über einen Scheduled Task oder z.B. mittels PSEXEC.
E.
auch ein Computer muss erst sein Sitzungstoken erneuern, bevor er seine neue Gruppenmitgliedschaft kennt. Am einfachsten den Client durchstarten, wenn man ihn in eine Gruppe aufnimmt oder davon entfernt, damit das wirkt.
Alternativ unter der Anmeldung von SYSTEM ausführen:
klist purgepsexec -s klist purgeE.
Moin,
was spricht dagegen, die betroffenen Geräte in eine eigene OU zu packen und dann die GPO nur auf diese wirken zu lassen?
Liebe Grüße
Erik
was spricht dagegen, die betroffenen Geräte in eine eigene OU zu packen und dann die GPO nur auf diese wirken zu lassen?
Liebe Grüße
Erik
