Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eingeschränkte Gruppen - zwei grundlegende Fragen

Frage Microsoft Windows Userverwaltung

Mitglied: bioperiodik

bioperiodik (Level 1) - Jetzt verbinden

03.03.2010, aktualisiert 22.03.2010, 8309 Aufrufe, 22 Kommentare

Guten Morgen,

Ich hab zwei Fragen zum Umgang mit der Funktion eingeschränkten Gruppen in den Gruppenrichtlinien.

Die Anleitung von http://www.gruppenrichtlinien.de/index.html?/howto/Zentrale_Vergabe_lok ... finde ich sehr gut und ausführlich erklärt.

Allerdings bleiben für mich zwei Fragen offen:

1. Es geht um das Beispiel 3 um den letzen Satz:

Hier wird von einer "lokalen Gruppe" und einer "Domänengruppe" geredet.
Lieg ich richtig damit das mit einer "lokalen Gruppe" eine lokale (in Domäne) Gruppe gemeint ist?
Und mit "Domänengruppe" einfach eine globale Gruppe?

Das heist dann wenn ich einen Rechner habe in dem ein Benutzer zur lokalen Gruppe Administratoren gehört, bleibt er trotz der anwendung der eingeschränkten Rechte in dieser Gruppe und die Benutzer aus der hinzugefügten Gruppe werden einfach hinzugefügt?

2. Was passiert wenn ich die eingeschränkten Gruppen wieder entferne?

Werden dann automatisch wieder die Grundeinstellungen hergestellt?
Oder bleiben die Rechte dann einfach leer?

Vielen Dank schonmal im Vorraus und noch einen schönen Tag
Sebastian

517cf506b1e1377d84db9c77bd944671 - Klicke auf das Bild, um es zu vergrößern
Mitglied: 2hard4you
03.03.2010 um 09:31 Uhr
Moin,

meist ist eine lokale Gruppe auf den jeweiligen Server eingerichtet worden.

Nach Löschung von Rechten fehlen diese einfach, da gibt es keinen Automatismus, der irgendwas wiederherstellt - sind ja nur wissende Menschen, die wissen, was sie tun *g*

Gruß

24
Bitte warten ..
Mitglied: bioperiodik
03.03.2010 um 09:42 Uhr
Nachtrag:

Ich glaub ich mach besser mal ein Beispiel was ich vorhabe:

Ziel: IT-Mitarbeiter Adminrechte auf allen Rechner in der Domäne gewähren

Bisherige Vorstellung:
Eine Gruppe im Active Directory erstellen (Bsp.: LokaleAdmins), dieser Gruppe die entsprechenden IT-Mitarbeiter hinzufügen.
Diese Gruppe mit Hilfe der eingeschränkten Rechte der lokalen (auf den einzelnen Rechner vorhandenen Gruppe) Administratoren hinzufügen.

Damit soll erreicht werden das die entsprechenden IT-Mitarbeiter zwar auf den Rechner volle Adminrechte haben, aber keine Rechte in der Domäne (also Gruppen/Benutzer erstellen im Active Directory) haben.

Ist dies so Umsetzbar?

Hierfür würde ich dann einfach die Gruppen LokaleAdmins und Domänen-Admins aus dem AD der lokalen Gruppe Administratoren hinzufügen, geht das so?
Wie kann ich erreichen das die schon vorhandenen lokalen Gruppen nicht überschrieben werden sondern die neu hinzugefügen Gruppen einfach nur "drangehängt" werden?

Hoffe es ist klar was ich erreichen will ;)

PS: noch eine weitere Frage: Kann ich auch einer selbst erstellen lokalen Gruppe auf einem Rechner via eingeschränkten Rechten eine Gruppe aus dem AD zuweisen?
Bitte warten ..
Mitglied: DerWoWusste
03.03.2010 um 23:04 Uhr
Ja, das ist so umsetzbar. Die Domänenadmins sind eh in der Gruppe der lokalen Admins, die brauchen nicht erneut rein. Auch Deine letzte Frage ist möglich. Nimm Dir eine Test-OU und führ's durch - so sind Missverständnisse schnell ausgeräumt.
Bitte warten ..
Mitglied: bioperiodik
04.03.2010 um 10:56 Uhr
Hab ein kleines Problem:

Wenn ich das Snaping mit gpedit.msc starte und unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen bin, hab ich keinen Order "Eingeschränkte Gruppen", woran kann das liegen?
Bitte warten ..
Mitglied: DerWoWusste
04.03.2010 um 11:13 Uhr
Du musst das am Domänencontroller machen und nicht über gpedit.msc, sondern über die gpmc.
Bitte warten ..
Mitglied: bioperiodik
04.03.2010 um 13:44 Uhr
Hallo,

Ich bin auf dem Domänencontroller, wenn ich allerdings gpmc.msc öffne, hilft mir das nicht weiter, da ich hier auch keine "Eingeschränkten Gruppen" finden.
Bitte warten ..
Mitglied: DerWoWusste
04.03.2010 um 14:15 Uhr
Hast Du mehrere DCs? Ich kenne das Phänomen (->es fehlt etwas unter Sicherheitseinstellungen) genau dann, wenn man zwei hat und der eine nicht erreichbar ist.
Bitte warten ..
Mitglied: bioperiodik
04.03.2010 um 14:21 Uhr
Ja, wir haben zwei DCs laufen!
Ich bin mir eigentlich auch sicher das dich die Option vor kurzem noch auf einem der beiden DCs gesehen hab, aber jetzt ist es nichtmehr auffindbar, weist du wie man das lösen kann?

Danke schonmal für die Hilfe
Bitte warten ..
Mitglied: DerWoWusste
04.03.2010 um 14:28 Uhr
Versuch es zunächst mal auf dem anderen DC. Bei mir löste es sich von alleine, nachdem der andere DC wieder erreichbar war (er war nicht erreichbar, da nur zu Testzwecken vorhanden in einer vmware Testdomäne). Keine weitere Idee.
Bitte warten ..
Mitglied: bioperiodik
04.03.2010 um 19:48 Uhr
also irgendwie komm ich damit nicht wirklich weiter.
Die Option Eingeschränkte Gruppen ist nirgends zu finden.

Trotzdem auf jeden Fall viele Dank für die Hilfe, vielleicht weis ja noch jemand anders Rat

Gruß Seb
Bitte warten ..
Mitglied: bioperiodik
08.03.2010 um 08:01 Uhr
Guten Morgen liebe Gemeinde,

Da ich immer noch nicht weiter weis, wende ich mich nochmal an euch und hoffe das jemand einen kleinen Tipp hat.

Der Stand:
Wir haben zwei DCs laufen (Windows 2003 R2 Enterprise Edition mit SP2).
In der MMC in der man die Option "Eingeschränkte Gruppen" finden sollte, ist nichts zu sehen.

Weis jemand woran das liegen könnte?

Danke schonmal und eine schöne Woche
Sebastian
Bitte warten ..
Mitglied: DerWoWusste
08.03.2010 um 10:09 Uhr
Lad nochmal einen Screenshot der mmc hoch.
Bitte warten ..
Mitglied: bioperiodik
08.03.2010 um 13:55 Uhr
öhm...doofe Frage, aber wie kann ich hier ein Screenshot hochladen?
Bitte warten ..
Mitglied: DerWoWusste
08.03.2010 um 17:27 Uhr
Du musst Deinen ersten Beitrag editieren - dort gibt's die Option Bilder hinzufügen.
Bitte warten ..
Mitglied: bioperiodik
08.03.2010 um 18:39 Uhr
Ah ok, wieder was gelernt! ;) Danke

So, das Bild hab ich oben eingefügt, hoffe es hilft weiter
Bitte warten ..
Mitglied: bioperiodik
22.03.2010 um 08:01 Uhr
Guten Morgen,

Ich schieb das Thema nochmal hoch da es wirklich wichtig ist!

Weis jemand woran es liegen könnte das die Option "Eingeschränkte Gruppen" bei uns nicht verfügbar ist?
Bitte warten ..
Mitglied: DerWoWusste
22.03.2010 um 09:12 Uhr
Dein Screenshot zeigt, dass Du gpedit.msc und nicht die GPMC verwendest - bitte mach einen Screenshot der GPMC.
Bitte warten ..
Mitglied: bioperiodik
22.03.2010 um 09:23 Uhr
Hallo,

Sorry, hab nun den richtigen Screenshot eingefügt!
Bitte warten ..
Mitglied: DerWoWusste
22.03.2010 um 09:32 Uhr
Nein, hast Du nicht ;)
Füg bitte einen Screenshot der Stelle ein, um die es geht.
Bitte warten ..
Mitglied: bioperiodik
22.03.2010 um 09:34 Uhr
Hm...sorry wenn ich mich bissel blöd anstell....aber welche Stelle wäre das denn?
Bitte warten ..
Mitglied: DerWoWusste
22.03.2010 um 09:56 Uhr
Die Stelle, wo Du die eingeschränkten Gruppen erwarten würdest. Also Policy öffnen, um die es geht und dort zu Comp.-Konfig - Policies - Windowsesinstellungen - Sicherheitseinstellungen
Bitte warten ..
Mitglied: bioperiodik
22.03.2010 um 12:02 Uhr
Guten Tag,

So das Problem wäre gelöst, dank der geduldigen Hilfe von DerWoWusste,
Herlichen Dank nochmal!

Gruß
Sebastian
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Windows Server - Grundlegende Fragen (21)

Frage von Dragan123 zum Thema Windows Server ...

Exchange Server
Allgemeine Fragen zum Exchange 2010 (3)

Frage von Leo-le zum Thema Exchange Server ...

Windows Server
gelöst W2k8 + W2k12 -Domänen Vertrauensstellung - Gruppen (3)

Frage von cordial zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...