Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Rechte per Gruppenrichtlinie

Mitglied: Scratnut

Scratnut (Level 1) - Jetzt verbinden

09.09.2010, aktualisiert 17:30 Uhr, 5063 Aufrufe, 3 Kommentare

Vergabe lokaler Rechte über die Gruppenrichtlinie: Probleme beim Login

Hallo zusammen

Ich hab folgendes Problem, dass sich mittlerweile gänzlich meiner Logik entzieht:

Bei mir sieht’s so aus (Server 2003 Standard):

OU_Benutzer
- OU_localAdmin (ca. 5 Mitglieder)
- OU_localUser (ca. 30 Mitglieder)
OU_Computer (einfach alle Computer reingeschmissen)
OU_Gruppen (mit vielen Untergruppen)

Ich möchte nun folgendes erreichen:
Alle Benutzer, die unter OU_localAdmin gespeichert sind sollen lokale Administratoren-Rechte haben, alle anderen (in OU_localUser) sollen der lokalen Gruppe Benutzer angehören. Dies soll auf allen Computern gelten und nicht nur auf einigen ausgewählten.

Versuch 1 (der meiner Meinung nach auch hätte klappen müssen):
Ich definiere eine Gruppe Loc_admin und Loc_user. Dann werfe ich alle Benutzer aus dem OU_localAdmin in die Gruppe Loc_admin und die Benutzer aus OU_localUser ins Loc_user.
Nun definiere ich eine Gruppenrichtlinie, die sich auf alle Benutzer bezieht und mit der OU_Computer verknüpft ist und definiere dort, dass die Gruppe SERVER\Loc_admin teil der lokalen Gruppe "Administratoren" sein soll. Analog dazu schreibe ich die SERVER\Loc_user in die Gruppe der lokalen "Benutzer" (Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen)

DAS KLAPPT GAR NICHT!!!! Ich kann mich mit keinem User mehr anmelden, da mir die Lokalen Rechte fehlen?! Was meiner Meinung nach nicht richtig ist.

Versuch 2 (der nun aber garantiert funktionieren sollte):
Ich schreibe jeden einzelnen Benutzer aus der OU_localUser resp. der OU_localAdmin via Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen in die jeweiligen lokalen Gruppen.
Einloggen geht nun auch wieder und ich sehe, dass die Benutzer der OU_localAdmin auch wirklich teil der lokalen Administratoren sind (jeder einzeln aufgeführt). GPRESULT ergibt, dass alles bestens ausgeführt wird.
Die normalen Benutzer können sich zwar einloggen, jedoch werden Ihre Profile nicht mehr korrekt geladen und die Gruppenrichtlinien welche ich für die Benutzer vergeben habe werden nicht angewandt (z.B. Zugriffverweigerung auf die Systemsteuerung uvm)
??????

Versuch 2-100 lass ich an dieser Stelle bewusst aus

Nun meine Frage an euch: Was mache ich da falsch?
Jede Hilfe ist willkommen!!

Gruss Serge
Mitglied: DerWoWusste
10.09.2010 um 00:04 Uhr
Hi.

Du willst einem bestimmten Personenkreis Adminrechte auf allen PCs geben, der Rest soll Userrechte bekommen, wenn ich Dich richtig verstehe.
Dazu zitiere ich einen Beitrag aus experts-exchange: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
---
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
---

In Deinem Fall musst Du also (ohne irgendwelche OUs zu benötigen) eine Gruppe LokaleAdmins anlegen, diese in einer GPO, welche auf alle Computerobjekte wirkt, als eingeschr. Gr. ausweisen und bei "Mitlied von" Administratoren angeben und fertig.

Normale User müssen nicht extra definiert werden. Domänennutzer sind immer zunächst in der Gruppe Benutzer drin.
Bitte warten ..
Mitglied: Scratnut
10.09.2010 um 19:03 Uhr
Danke für die Antwort aber das löst mein Problem leider nicht.
Nachdem ich das gemacht habe können sich zwar die Administratoren ohne Probleme anmelden und Ihre Gruppenrichtlinien anwenden, jedoch die Benutzer machen da mehr Zicken:

Ich melde mich also als Benutzer an. Das erste was auffällt ist, dass die Desktop-Einstellungen komplett anders sind (einige Verknüpfungen, Hintergrund etc. sind weg oder anders als vorher). Ich schliesse daraus, dass die Profile nicht richtig geladen werden. Nun sei es denn so, aber die Richtlinien werden ebenfalls nicht richtig geladen. Zum Beispiel habe ich den Usern verboten die Eingabeaufforderung zu benutzen. Diese funktioniert auch und ich nutze die Gelegenheit "gpresult" auszuführen. Die Antwort des Befehls ist eher ernüchternd. Die Computerrichtlinien sowie die Benutzerrichtlinie, die explizit verbietet, dass die Eingabeaufforderung verwendet werden darf, werden angewendet. Nun versuche ich ein "gpupdate" und siehe da, die Richtlinien werden ohne Probleme erneuert. Obwohl dies ein Chicken/egg- Problem darstellen müsste (eine Richtlinie zu laden, die einem das erneuern der Richtlinie verbietet). Eine Veränderung/Anwendung ist nicht erkennbar.

Das ganze kommt mir etwas komisch vor, aber ich mag mich erinnern, dass mein Vorgänger bei jedem Computer manuell die Gruppe Domänen-Benutzer den Administratoren zugeordnet hatte. Diese Einstellungen habe ich wohl durch mein rumgebastel auf dem Server überschrieben (was ich nicht wirklich bereue).
Kann das ein Einfluss auf die Profile haben, dass diese dann irgendwas Komisches machen (vergessen sich zu laden)?

Bin für jede Hilfe dankbar

Gruss
Bitte warten ..
Mitglied: DerWoWusste
10.09.2010 um 22:56 Uhr
Beschränk Dich doch erstmal auf einen Sachverhalt/eine Frage. Ich hab ein paar Probleme, durch den Wust durchzusteigen.
Wenn Du nur die Auserwählten als lokale Admins einsetzt hat das keinen Einfluss auf was auch immer Anderes.

Du musst aufklären, was alles an Einstellungen greift - es wirkt nicht so, als hättest Du den Durchblick behalten - nicht böse gemeint. Dann nimm einen frischen Test-PC und schau, was passiert, wenn Du Eure aktuellen Einstellungen auf den loslässt - bei Unsicherheit eine nach der anderen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Lokale Gruppenrichtlinien
Frage von anak1mWindows Server8 Kommentare

Hallo zusammen, mein Kollege hat an einem Client den Ordner (c:\windows\policydefinitions) gelöscht (Win 7 x64 Prof.). PC ist Mitglied ...

Windows Netzwerk

Ehemaliger Domänenadministrator hat noch lokale Rechte

Frage von Yosei12Windows Netzwerk6 Kommentare

Hallo in die Runde, ich hab folgendes Problem: Wir haben in der Firma unsere Domäne umgestellt und dabei habe ...

Windows Server

Remotedesktopsitzungszeitlimit in den Lokalen Gruppenrichtlinien ändern

gelöst Frage von xpstressWindows Server1 Kommentar

Hallo, Ich habe in den Lokalen Gruppenrichtlinien / Remotedesktopsitzungshost / Sitzungszeitlimit Zeit Limit für aktive aber im Leerlauf befindliche ...

Batch & Shell

Anmeldeskript über lokale Gruppenrichtlinie funktioniert nicht

gelöst Frage von atomiqueBatch & Shell15 Kommentare

Guten Abend zusammen, ich versuche gerade über ein Anmeldeskript Freigaben als Netzlaufwerke zu verbinden, habe aber ein Problem, dass ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 6 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 6 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 10 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server39 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...