Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Rechte per Gruppenrichtlinie

Frage Microsoft Windows Server

Mitglied: Scratnut

Scratnut (Level 1) - Jetzt verbinden

09.09.2010, aktualisiert 17:30 Uhr, 5048 Aufrufe, 3 Kommentare

Vergabe lokaler Rechte über die Gruppenrichtlinie: Probleme beim Login

Hallo zusammen

Ich hab folgendes Problem, dass sich mittlerweile gänzlich meiner Logik entzieht:

Bei mir sieht’s so aus (Server 2003 Standard):

OU_Benutzer
- OU_localAdmin (ca. 5 Mitglieder)
- OU_localUser (ca. 30 Mitglieder)
OU_Computer (einfach alle Computer reingeschmissen)
OU_Gruppen (mit vielen Untergruppen)

Ich möchte nun folgendes erreichen:
Alle Benutzer, die unter OU_localAdmin gespeichert sind sollen lokale Administratoren-Rechte haben, alle anderen (in OU_localUser) sollen der lokalen Gruppe Benutzer angehören. Dies soll auf allen Computern gelten und nicht nur auf einigen ausgewählten.

Versuch 1 (der meiner Meinung nach auch hätte klappen müssen):
Ich definiere eine Gruppe Loc_admin und Loc_user. Dann werfe ich alle Benutzer aus dem OU_localAdmin in die Gruppe Loc_admin und die Benutzer aus OU_localUser ins Loc_user.
Nun definiere ich eine Gruppenrichtlinie, die sich auf alle Benutzer bezieht und mit der OU_Computer verknüpft ist und definiere dort, dass die Gruppe SERVER\Loc_admin teil der lokalen Gruppe "Administratoren" sein soll. Analog dazu schreibe ich die SERVER\Loc_user in die Gruppe der lokalen "Benutzer" (Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen)

DAS KLAPPT GAR NICHT!!!! Ich kann mich mit keinem User mehr anmelden, da mir die Lokalen Rechte fehlen?! Was meiner Meinung nach nicht richtig ist.

Versuch 2 (der nun aber garantiert funktionieren sollte):
Ich schreibe jeden einzelnen Benutzer aus der OU_localUser resp. der OU_localAdmin via Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen in die jeweiligen lokalen Gruppen.
Einloggen geht nun auch wieder und ich sehe, dass die Benutzer der OU_localAdmin auch wirklich teil der lokalen Administratoren sind (jeder einzeln aufgeführt). GPRESULT ergibt, dass alles bestens ausgeführt wird.
Die normalen Benutzer können sich zwar einloggen, jedoch werden Ihre Profile nicht mehr korrekt geladen und die Gruppenrichtlinien welche ich für die Benutzer vergeben habe werden nicht angewandt (z.B. Zugriffverweigerung auf die Systemsteuerung uvm)
??????

Versuch 2-100 lass ich an dieser Stelle bewusst aus

Nun meine Frage an euch: Was mache ich da falsch?
Jede Hilfe ist willkommen!!

Gruss Serge
Mitglied: DerWoWusste
10.09.2010 um 00:04 Uhr
Hi.

Du willst einem bestimmten Personenkreis Adminrechte auf allen PCs geben, der Rest soll Userrechte bekommen, wenn ich Dich richtig verstehe.
Dazu zitiere ich einen Beitrag aus experts-exchange: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
---
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
---

In Deinem Fall musst Du also (ohne irgendwelche OUs zu benötigen) eine Gruppe LokaleAdmins anlegen, diese in einer GPO, welche auf alle Computerobjekte wirkt, als eingeschr. Gr. ausweisen und bei "Mitlied von" Administratoren angeben und fertig.

Normale User müssen nicht extra definiert werden. Domänennutzer sind immer zunächst in der Gruppe Benutzer drin.
Bitte warten ..
Mitglied: Scratnut
10.09.2010 um 19:03 Uhr
Danke für die Antwort aber das löst mein Problem leider nicht.
Nachdem ich das gemacht habe können sich zwar die Administratoren ohne Probleme anmelden und Ihre Gruppenrichtlinien anwenden, jedoch die Benutzer machen da mehr Zicken:

Ich melde mich also als Benutzer an. Das erste was auffällt ist, dass die Desktop-Einstellungen komplett anders sind (einige Verknüpfungen, Hintergrund etc. sind weg oder anders als vorher). Ich schliesse daraus, dass die Profile nicht richtig geladen werden. Nun sei es denn so, aber die Richtlinien werden ebenfalls nicht richtig geladen. Zum Beispiel habe ich den Usern verboten die Eingabeaufforderung zu benutzen. Diese funktioniert auch und ich nutze die Gelegenheit "gpresult" auszuführen. Die Antwort des Befehls ist eher ernüchternd. Die Computerrichtlinien sowie die Benutzerrichtlinie, die explizit verbietet, dass die Eingabeaufforderung verwendet werden darf, werden angewendet. Nun versuche ich ein "gpupdate" und siehe da, die Richtlinien werden ohne Probleme erneuert. Obwohl dies ein Chicken/egg- Problem darstellen müsste (eine Richtlinie zu laden, die einem das erneuern der Richtlinie verbietet). Eine Veränderung/Anwendung ist nicht erkennbar.

Das ganze kommt mir etwas komisch vor, aber ich mag mich erinnern, dass mein Vorgänger bei jedem Computer manuell die Gruppe Domänen-Benutzer den Administratoren zugeordnet hatte. Diese Einstellungen habe ich wohl durch mein rumgebastel auf dem Server überschrieben (was ich nicht wirklich bereue).
Kann das ein Einfluss auf die Profile haben, dass diese dann irgendwas Komisches machen (vergessen sich zu laden)?

Bin für jede Hilfe dankbar

Gruss
Bitte warten ..
Mitglied: DerWoWusste
10.09.2010 um 22:56 Uhr
Beschränk Dich doch erstmal auf einen Sachverhalt/eine Frage. Ich hab ein paar Probleme, durch den Wust durchzusteigen.
Wenn Du nur die Auserwählten als lokale Admins einsetzt hat das keinen Einfluss auf was auch immer Anderes.

Du musst aufklären, was alles an Einstellungen greift - es wirkt nicht so, als hättest Du den Durchblick behalten - nicht böse gemeint. Dann nimm einen frischen Test-PC und schau, was passiert, wenn Du Eure aktuellen Einstellungen auf den loslässt - bei Unsicherheit eine nach der anderen.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Bericht lokaler Gruppenrichtlinie exportieren (3)

Frage von eglipeter zum Thema Windows 10 ...

Windows 7
gelöst Verständnisfrage Batch-Rechte (9)

Frage von SarekHL zum Thema Windows 7 ...

Windows Server
gelöst Problem mit Gruppenrichtlinien (3)

Frage von hoeced zum Thema Windows Server ...

Neue Wissensbeiträge
Mac OS X

Apple hat macOS High Sierra veröffentlicht

(4)

Information von Frank zum Thema Mac OS X ...

Viren und Trojaner

Ransomware or Wiper? RedBoot Encrypts Files but also Modifies Partition Table

(4)

Information von BassFishFox zum Thema Viren und Trojaner ...

Notebook & Zubehör

WOL bei HP Notebooks

(8)

Erfahrungsbericht von Henere zum Thema Notebook & Zubehör ...

Heiß diskutierte Inhalte
Windows Server
Seit IP Umstellung DC DNS Fehler (29)

Frage von Yaimael zum Thema Windows Server ...

Windows 10
gelöst Netzwerkkarte schaltet sich erst nach dem Logon ein (24)

Frage von DerWoWusste zum Thema Windows 10 ...

Grafik
gelöst CAD Arbeitsplätze (17)

Frage von Diddi93 zum Thema Grafik ...

Weiterbildung
gelöst Fest angestellter Admin oder Systemhaus Admin mit Kundenbetreuung? (16)

Frage von Voiper zum Thema Weiterbildung ...