Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gruppenrichtlinie Zugriff Verweigert

Frage Microsoft

Mitglied: h2de

h2de (Level 1) - Jetzt verbinden

05.06.2007, aktualisiert 13:18 Uhr, 31760 Aufrufe, 5 Kommentare

Hallo zusammen,

habe folgendes Problem bzw. Anforderung.

Ich möchte einer bestimmten OU (Test-PC), die nur Computer enthält, ein GPO zuweisen dass nur bei ausgewählten Benutzern die sich an einen dieser Computer anmelden beim Start ein Programm (notepad) gestartet wird.

Ich habe dazu eine GPO erstell die wie folgt konfiguriert ist:

Benutzerkonfiguration - Administrative Vorlagen - System - Anmeldung - Dieses Programm bei der Benutzernmeldung starten: notepad.exe

mehr nicht.

Jetzt habe ich noch bei der Gruppenrichtlinie selbst bei der Sicherheitsfilterung die Authentifizierten Benutzer entfernt und einen Testuser hinzugefügt mit den Berechtigungen: Lesen und Gruppenrichtlinien übernehmen.

So habe ich gedacht dass die Konfiguration aussehen müsste. ABER!!!

Wenn ich nun einen bericht bei der Gruppenrichtlinienmodellierung erstelle wird dieses GPO abgelehnt mit dem Grund: Zugriff verweigert (Sicherheitsfilterung)

Kann mir jemand sagen an welcher Stelle hier der Fehler ist oder eine alternative Lösung vorschlagen?

Danke im Voraus
Mitglied: Logan000
05.06.2007 um 12:33 Uhr
Die GPO wirkt nur auf objekte innerhalb der OU. Wenn in deiner OU keine Benutzer sind können durch die OU auch keine Benutzerkonfigurationen angewendet werden.
Du solltest also die GPO unter einer OU einrichten in der die jeweiligen Benutzer sind.
Bitte warten ..
Mitglied: DerSchorsch
05.06.2007 um 12:41 Uhr
Hallo,

Die Fehlermeldung kommt daher, dass der Computer die Richtlinie nicht lesen darf. Er ist zwar auch ein "Authentifizierter Benutzer", aber die dürfen ja nun nicht mehr.

Aber selbst wenn er es dürfte, würde es nicht klappen, da deine GPO am falschen Platz liegt. Nur Objekte unterhalb der entsprechenden OU verwenden die zugewiesene GPU, aber nur den entsprechenden Teil davon!
Da hier nur Computer in deiner OU sind, lesen die nur den Teil "Computerkonfiguration". Die Benutzerkonfiguration ist nicht relevant.

Du hast jetzt folgende Möglichkeiten: Entweder du setzt die GPO auf die OU, in der die User drin sind, oder du konfigurierst die GPO so, dass sie im Loopbackmodus arbeitet (Lies dir mal den Anfang dieses Artikels durch: http:www.grurili.de/HowTo/Terminal_Server.htm //)
Bei der ersten Möglichkeit gilt sie immer für diesen Benutzer, egal an welchem Rechner er sich anmeldet. Bei der 2. nur dann, wenn er sich an einem PC aus dieser OU anmeldet. Kommt drauf an, was du willst.

Grundsätzlich gilt: Gruppenrichtlinien sind ein sehr mächtiges Hilfsmittel. Aber man muss sich damit auskennen, sonst kann man damit auch versehentlich viel Schaden anrichten. Experimente nur in Testumgebungen, niemals am Produktivsystem!

Gruß,
Schorsch
Bitte warten ..
Mitglied: h2de
05.06.2007 um 12:42 Uhr
Hallo Logan000,

danke erstmal für die Anwort. Aber wenn ich die GPO auf die Benutzer anwende, wie schließe ich dann nur einen besteimmten Kreis von Rechnern ein auf denen sie wirkt?
Bitte warten ..
Mitglied: h2de
05.06.2007 um 13:02 Uhr
O.k.

Was würde denn passieren wenn ich eine OU habe: Alle, unter dieser OU habe jeweils die OU: rechner und die OU: user. Jetzt erstelle ich meine GPO mit einer Benutzerkonfiguration, verknüpfe sie mit: Alle und gebe nur dem user1 in der OU user und dem pc1 in der OU rechner die entsprechenden Sicherheitseinstellungen für die GPO. Was passiert jetzt? IMHO nur der user1 darf auf allen PC's in OU. Oder???
Bitte warten ..
Mitglied: DerSchorsch
05.06.2007 um 13:18 Uhr
Hallo,

So wie ich dich vestehe, klappt das nicht.
Computer lesen nur die Computerkonfiguration, Benutzer nur die Benutzerkonfiguration.
Wenn jetzt dein Benutzer die GPO übernehmen darf, wird er das auch tun. Ob der Computer den Computerteil lesen darf ist nicht wichtig. Demzufolge wird der Benutzer auch immer die Richtlinie übernehmen, wenn er in der entsprechenden OU ist.

Lies dir doch mal den Link bez. Loopbackmodus durch, den ich bereits geschrieben habe. Darin geht es zwar um Terminalserver, aber hier existiert die gleiche Situation:
Wenn sich hier ein Benutzer anmeldet, soll er eine andere Benutzerkonfiguration bekommen, wie wenn er sich an einem normalen PC anmeldet.
Du musst also die GPO für die entsprechenden Computer definieren und auf Loopback setzen. Meldet sich nun ein Benutzer an, drückt ihm der Computer auch die Benutzerkonfiguration der GPO auf, auch wenn der Benutzer gar nicht zur OU gehört. Hier greift dann auch wieder die Sicherheitsfilterung, sprich, du kannst die Benutzer (oder besser Gruppen) definieren, die das dürfen.

Gruß,
Schorsch
Bitte warten ..
Ähnliche Inhalte
Datenbanken
Betriebssystemfehlercode 5 (Zugriff verweigert)
gelöst Frage von orausdoDatenbanken10 Kommentare

Hallo Admins, ich bekomme bei Ausführung eines Agent Job immer die o.g. Fehlermeldung. Die Prozedur ließt via Bulk Insert ...

Windows Server
Zugriff verweigert (Sicherheitsfilterung)
Frage von n0cturneWindows Server9 Kommentare

Hallo zusammen, seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen. Mein ...

Windows 10
Psexec - Zugriff verweigert - WIN10
gelöst Frage von knittiWindows 103 Kommentare

Hallo, möchte Befehle von einem Win10 PC auf einen anderen Win10 PC senden. -soll in der Firma genutzt werden ...

Windows 7
Domainanmeldung - Zugriff verweigert
gelöst Frage von Jannis92Windows 71 Kommentar

Moin Moin, wir befinden uns gerade in der Vorbereitung für einen Hardware Rollout. Somit werden aktuell alle Rechner mit ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 33 MinutenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 16 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 20 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...