4
Lokale Gruppenrichtline greift auch am DC...
Wenn ich in den in der Default Domain Policy (oder auch in einer selbsterstellten verknüpften) unter Windows Server 2008
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen
Administratoren hinzufüge und als Mitglieder die Domain-Admins und eine weitere Benutzergruppe (die lokale Adminrechte haben soll) hinzufüge.
wird bei einem gpupdate /force diese auf den lokalen Clients eingetragen. So weit so gut.
Nun wird aber auch am Server unter Administratoren (Builtin - Sicherheitsgruppe - Lokal (in Domäne)) diese Benutzergruppe eingetragen.
Das möchte ich natürlich nicht.
Der DC soll nur den Domain-Admin als zusätzliche Gruppe haben.
Nun gibt es ja eine Default Domain Controller Policy - es gibt aber keine 'Nicht-Mitglied in einer Gruppe'
Ich hab mir die verschiedenen Tipps auf gruppenrichtline.de schon angesehn nur ist dies ev. eine Eigenheit von Windows Server 2008?
Oder ist mein Server im Bezug auf lokale(auf Server) Admineinstellungen falsch konfiguriert?
Ich glaub ich hab hier irgendwo was übersehen - kann mir wer auf die Sprünge helfen?
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen
Administratoren hinzufüge und als Mitglieder die Domain-Admins und eine weitere Benutzergruppe (die lokale Adminrechte haben soll) hinzufüge.
wird bei einem gpupdate /force diese auf den lokalen Clients eingetragen. So weit so gut.
Nun wird aber auch am Server unter Administratoren (Builtin - Sicherheitsgruppe - Lokal (in Domäne)) diese Benutzergruppe eingetragen.
Das möchte ich natürlich nicht.
Der DC soll nur den Domain-Admin als zusätzliche Gruppe haben.
Nun gibt es ja eine Default Domain Controller Policy - es gibt aber keine 'Nicht-Mitglied in einer Gruppe'
Ich hab mir die verschiedenen Tipps auf gruppenrichtline.de schon angesehn nur ist dies ev. eine Eigenheit von Windows Server 2008?
Oder ist mein Server im Bezug auf lokale(auf Server) Admineinstellungen falsch konfiguriert?
Ich glaub ich hab hier irgendwo was übersehen - kann mir wer auf die Sprünge helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125202
Url: https://administrator.de/contentid/125202
Printed on: April 25, 2024 at 13:04 o'clock
4 Comments
Latest comment
Wie wär's denn, eine Extrapolicy zu verwenden, die nicht auf die gesamte Domäne gelinkt ist oder aber in den Sicherheitseinstellungen also vom DC nicht lesbar eingestuft ist?
Ja, genau sowas hab ich mir auch vorgestellt - nur halt als Art 'Notlösung'
Ich denke das Problem müssten ja einige hier haben wenn sie lokale Adminrechte per GP verteilen das sich das auch auf den DC auswirkt und diese dann am DC lokale Adminrechte haben.
Soweit ich mich entsinne ist davon nichts auf gruppenrichtline.de beschrieben. Gabs dieses Problem einfach nicht unter Win 2003?
Als Test hatte ich mal eine Policy erstellt angewendet und dann händisch am Server den Eintrag entfernt. Nur wird dies ja alle 90 min(?) wieder frisch abgeholt (sofern Änderung der Policy richtig?)
Also zu riskant. Das das wieder überschrieben wird.
Ich möchte die Policy auf der gesamten Domäne laufen lassen, da die Computer nicht zwingend personengebunden sind. Befindet sich also eine Person in der Gruppe und meldet sich auf einem X-Beliebigen Rechner an soll die GP ziehn.
--> ...als vom DC nicht lesbar...
Wo kann ich das tun? Ich finde nur wie ich DC only verknüpfen kann - also nur und oder oder aber kein nicht (hehe wenn das kein Infromatikersatz is)
Ich denke das Problem müssten ja einige hier haben wenn sie lokale Adminrechte per GP verteilen das sich das auch auf den DC auswirkt und diese dann am DC lokale Adminrechte haben.
Soweit ich mich entsinne ist davon nichts auf gruppenrichtline.de beschrieben. Gabs dieses Problem einfach nicht unter Win 2003?
Als Test hatte ich mal eine Policy erstellt angewendet und dann händisch am Server den Eintrag entfernt. Nur wird dies ja alle 90 min(?) wieder frisch abgeholt (sofern Änderung der Policy richtig?)
Also zu riskant. Das das wieder überschrieben wird.
Ich möchte die Policy auf der gesamten Domäne laufen lassen, da die Computer nicht zwingend personengebunden sind. Befindet sich also eine Person in der Gruppe und meldet sich auf einem X-Beliebigen Rechner an soll die GP ziehn.
--> ...als vom DC nicht lesbar...
Wo kann ich das tun? Ich finde nur wie ich DC only verknüpfen kann - also nur und oder oder aber kein nicht (hehe wenn das kein Infromatikersatz is)
--> ...also vom DC nicht lesbar...
Wo kann ich das tun?
gracias!
habs gefunden auf domänencomputer umgestellt und nun wirds nicht mehr am dc übernommen!
herzlichen dank.
habs gefunden auf domänencomputer umgestellt und nun wirds nicht mehr am dc übernommen!
herzlichen dank.
