Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Rechte per Gruppenrichtlinie

Frage Microsoft Windows Server

Mitglied: Scratnut

Scratnut (Level 1) - Jetzt verbinden

09.09.2010, aktualisiert 17:30 Uhr, 5054 Aufrufe, 3 Kommentare

Vergabe lokaler Rechte über die Gruppenrichtlinie: Probleme beim Login

Hallo zusammen

Ich hab folgendes Problem, dass sich mittlerweile gänzlich meiner Logik entzieht:

Bei mir sieht’s so aus (Server 2003 Standard):

OU_Benutzer
- OU_localAdmin (ca. 5 Mitglieder)
- OU_localUser (ca. 30 Mitglieder)
OU_Computer (einfach alle Computer reingeschmissen)
OU_Gruppen (mit vielen Untergruppen)

Ich möchte nun folgendes erreichen:
Alle Benutzer, die unter OU_localAdmin gespeichert sind sollen lokale Administratoren-Rechte haben, alle anderen (in OU_localUser) sollen der lokalen Gruppe Benutzer angehören. Dies soll auf allen Computern gelten und nicht nur auf einigen ausgewählten.

Versuch 1 (der meiner Meinung nach auch hätte klappen müssen):
Ich definiere eine Gruppe Loc_admin und Loc_user. Dann werfe ich alle Benutzer aus dem OU_localAdmin in die Gruppe Loc_admin und die Benutzer aus OU_localUser ins Loc_user.
Nun definiere ich eine Gruppenrichtlinie, die sich auf alle Benutzer bezieht und mit der OU_Computer verknüpft ist und definiere dort, dass die Gruppe SERVER\Loc_admin teil der lokalen Gruppe "Administratoren" sein soll. Analog dazu schreibe ich die SERVER\Loc_user in die Gruppe der lokalen "Benutzer" (Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen)

DAS KLAPPT GAR NICHT!!!! Ich kann mich mit keinem User mehr anmelden, da mir die Lokalen Rechte fehlen?! Was meiner Meinung nach nicht richtig ist.

Versuch 2 (der nun aber garantiert funktionieren sollte):
Ich schreibe jeden einzelnen Benutzer aus der OU_localUser resp. der OU_localAdmin via Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen in die jeweiligen lokalen Gruppen.
Einloggen geht nun auch wieder und ich sehe, dass die Benutzer der OU_localAdmin auch wirklich teil der lokalen Administratoren sind (jeder einzeln aufgeführt). GPRESULT ergibt, dass alles bestens ausgeführt wird.
Die normalen Benutzer können sich zwar einloggen, jedoch werden Ihre Profile nicht mehr korrekt geladen und die Gruppenrichtlinien welche ich für die Benutzer vergeben habe werden nicht angewandt (z.B. Zugriffverweigerung auf die Systemsteuerung uvm)
??????

Versuch 2-100 lass ich an dieser Stelle bewusst aus

Nun meine Frage an euch: Was mache ich da falsch?
Jede Hilfe ist willkommen!!

Gruss Serge
Mitglied: DerWoWusste
10.09.2010 um 00:04 Uhr
Hi.

Du willst einem bestimmten Personenkreis Adminrechte auf allen PCs geben, der Rest soll Userrechte bekommen, wenn ich Dich richtig verstehe.
Dazu zitiere ich einen Beitrag aus experts-exchange: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
---
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
---

In Deinem Fall musst Du also (ohne irgendwelche OUs zu benötigen) eine Gruppe LokaleAdmins anlegen, diese in einer GPO, welche auf alle Computerobjekte wirkt, als eingeschr. Gr. ausweisen und bei "Mitlied von" Administratoren angeben und fertig.

Normale User müssen nicht extra definiert werden. Domänennutzer sind immer zunächst in der Gruppe Benutzer drin.
Bitte warten ..
Mitglied: Scratnut
10.09.2010 um 19:03 Uhr
Danke für die Antwort aber das löst mein Problem leider nicht.
Nachdem ich das gemacht habe können sich zwar die Administratoren ohne Probleme anmelden und Ihre Gruppenrichtlinien anwenden, jedoch die Benutzer machen da mehr Zicken:

Ich melde mich also als Benutzer an. Das erste was auffällt ist, dass die Desktop-Einstellungen komplett anders sind (einige Verknüpfungen, Hintergrund etc. sind weg oder anders als vorher). Ich schliesse daraus, dass die Profile nicht richtig geladen werden. Nun sei es denn so, aber die Richtlinien werden ebenfalls nicht richtig geladen. Zum Beispiel habe ich den Usern verboten die Eingabeaufforderung zu benutzen. Diese funktioniert auch und ich nutze die Gelegenheit "gpresult" auszuführen. Die Antwort des Befehls ist eher ernüchternd. Die Computerrichtlinien sowie die Benutzerrichtlinie, die explizit verbietet, dass die Eingabeaufforderung verwendet werden darf, werden angewendet. Nun versuche ich ein "gpupdate" und siehe da, die Richtlinien werden ohne Probleme erneuert. Obwohl dies ein Chicken/egg- Problem darstellen müsste (eine Richtlinie zu laden, die einem das erneuern der Richtlinie verbietet). Eine Veränderung/Anwendung ist nicht erkennbar.

Das ganze kommt mir etwas komisch vor, aber ich mag mich erinnern, dass mein Vorgänger bei jedem Computer manuell die Gruppe Domänen-Benutzer den Administratoren zugeordnet hatte. Diese Einstellungen habe ich wohl durch mein rumgebastel auf dem Server überschrieben (was ich nicht wirklich bereue).
Kann das ein Einfluss auf die Profile haben, dass diese dann irgendwas Komisches machen (vergessen sich zu laden)?

Bin für jede Hilfe dankbar

Gruss
Bitte warten ..
Mitglied: DerWoWusste
10.09.2010 um 22:56 Uhr
Beschränk Dich doch erstmal auf einen Sachverhalt/eine Frage. Ich hab ein paar Probleme, durch den Wust durchzusteigen.
Wenn Du nur die Auserwählten als lokale Admins einsetzt hat das keinen Einfluss auf was auch immer Anderes.

Du musst aufklären, was alles an Einstellungen greift - es wirkt nicht so, als hättest Du den Durchblick behalten - nicht böse gemeint. Dann nimm einen frischen Test-PC und schau, was passiert, wenn Du Eure aktuellen Einstellungen auf den loslässt - bei Unsicherheit eine nach der anderen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Lokale Gruppenrichtlinien
Frage von anak1mWindows Server8 Kommentare

Hallo zusammen, mein Kollege hat an einem Client den Ordner (c:\windows\policydefinitions) gelöscht (Win 7 x64 Prof.). PC ist Mitglied ...

Windows Netzwerk
Ehemaliger Domänenadministrator hat noch lokale Rechte
Frage von Yosei12Windows Netzwerk6 Kommentare

Hallo in die Runde, ich hab folgendes Problem: Wir haben in der Firma unsere Domäne umgestellt und dabei habe ...

Windows Server
Remotedesktopsitzungszeitlimit in den Lokalen Gruppenrichtlinien ändern
gelöst Frage von xpstressWindows Server1 Kommentar

Hallo, Ich habe in den Lokalen Gruppenrichtlinien / Remotedesktopsitzungshost / Sitzungszeitlimit Zeit Limit für aktive aber im Leerlauf befindliche ...

Batch & Shell
Anmeldeskript über lokale Gruppenrichtlinie funktioniert nicht
gelöst Frage von atomiqueBatch & Shell15 Kommentare

Guten Abend zusammen, ich versuche gerade über ein Anmeldeskript Freigaben als Netzlaufwerke zu verbinden, habe aber ein Problem, dass ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 29 MinutenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 58 MinutenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 8 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux13 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...