Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Rechte per Gruppenrichtlinie

Frage Microsoft Windows Server

Mitglied: Scratnut

Scratnut (Level 1) - Jetzt verbinden

09.09.2010, aktualisiert 17:30 Uhr, 5018 Aufrufe, 3 Kommentare

Vergabe lokaler Rechte über die Gruppenrichtlinie: Probleme beim Login

Hallo zusammen

Ich hab folgendes Problem, dass sich mittlerweile gänzlich meiner Logik entzieht:

Bei mir sieht’s so aus (Server 2003 Standard):

OU_Benutzer
- OU_localAdmin (ca. 5 Mitglieder)
- OU_localUser (ca. 30 Mitglieder)
OU_Computer (einfach alle Computer reingeschmissen)
OU_Gruppen (mit vielen Untergruppen)

Ich möchte nun folgendes erreichen:
Alle Benutzer, die unter OU_localAdmin gespeichert sind sollen lokale Administratoren-Rechte haben, alle anderen (in OU_localUser) sollen der lokalen Gruppe Benutzer angehören. Dies soll auf allen Computern gelten und nicht nur auf einigen ausgewählten.

Versuch 1 (der meiner Meinung nach auch hätte klappen müssen):
Ich definiere eine Gruppe Loc_admin und Loc_user. Dann werfe ich alle Benutzer aus dem OU_localAdmin in die Gruppe Loc_admin und die Benutzer aus OU_localUser ins Loc_user.
Nun definiere ich eine Gruppenrichtlinie, die sich auf alle Benutzer bezieht und mit der OU_Computer verknüpft ist und definiere dort, dass die Gruppe SERVER\Loc_admin teil der lokalen Gruppe "Administratoren" sein soll. Analog dazu schreibe ich die SERVER\Loc_user in die Gruppe der lokalen "Benutzer" (Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen)

DAS KLAPPT GAR NICHT!!!! Ich kann mich mit keinem User mehr anmelden, da mir die Lokalen Rechte fehlen?! Was meiner Meinung nach nicht richtig ist.

Versuch 2 (der nun aber garantiert funktionieren sollte):
Ich schreibe jeden einzelnen Benutzer aus der OU_localUser resp. der OU_localAdmin via Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen in die jeweiligen lokalen Gruppen.
Einloggen geht nun auch wieder und ich sehe, dass die Benutzer der OU_localAdmin auch wirklich teil der lokalen Administratoren sind (jeder einzeln aufgeführt). GPRESULT ergibt, dass alles bestens ausgeführt wird.
Die normalen Benutzer können sich zwar einloggen, jedoch werden Ihre Profile nicht mehr korrekt geladen und die Gruppenrichtlinien welche ich für die Benutzer vergeben habe werden nicht angewandt (z.B. Zugriffverweigerung auf die Systemsteuerung uvm)
??????

Versuch 2-100 lass ich an dieser Stelle bewusst aus

Nun meine Frage an euch: Was mache ich da falsch?
Jede Hilfe ist willkommen!!

Gruss Serge
Mitglied: DerWoWusste
10.09.2010 um 00:04 Uhr
Hi.

Du willst einem bestimmten Personenkreis Adminrechte auf allen PCs geben, der Rest soll Userrechte bekommen, wenn ich Dich richtig verstehe.
Dazu zitiere ich einen Beitrag aus experts-exchange: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
---
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
---

In Deinem Fall musst Du also (ohne irgendwelche OUs zu benötigen) eine Gruppe LokaleAdmins anlegen, diese in einer GPO, welche auf alle Computerobjekte wirkt, als eingeschr. Gr. ausweisen und bei "Mitlied von" Administratoren angeben und fertig.

Normale User müssen nicht extra definiert werden. Domänennutzer sind immer zunächst in der Gruppe Benutzer drin.
Bitte warten ..
Mitglied: Scratnut
10.09.2010 um 19:03 Uhr
Danke für die Antwort aber das löst mein Problem leider nicht.
Nachdem ich das gemacht habe können sich zwar die Administratoren ohne Probleme anmelden und Ihre Gruppenrichtlinien anwenden, jedoch die Benutzer machen da mehr Zicken:

Ich melde mich also als Benutzer an. Das erste was auffällt ist, dass die Desktop-Einstellungen komplett anders sind (einige Verknüpfungen, Hintergrund etc. sind weg oder anders als vorher). Ich schliesse daraus, dass die Profile nicht richtig geladen werden. Nun sei es denn so, aber die Richtlinien werden ebenfalls nicht richtig geladen. Zum Beispiel habe ich den Usern verboten die Eingabeaufforderung zu benutzen. Diese funktioniert auch und ich nutze die Gelegenheit "gpresult" auszuführen. Die Antwort des Befehls ist eher ernüchternd. Die Computerrichtlinien sowie die Benutzerrichtlinie, die explizit verbietet, dass die Eingabeaufforderung verwendet werden darf, werden angewendet. Nun versuche ich ein "gpupdate" und siehe da, die Richtlinien werden ohne Probleme erneuert. Obwohl dies ein Chicken/egg- Problem darstellen müsste (eine Richtlinie zu laden, die einem das erneuern der Richtlinie verbietet). Eine Veränderung/Anwendung ist nicht erkennbar.

Das ganze kommt mir etwas komisch vor, aber ich mag mich erinnern, dass mein Vorgänger bei jedem Computer manuell die Gruppe Domänen-Benutzer den Administratoren zugeordnet hatte. Diese Einstellungen habe ich wohl durch mein rumgebastel auf dem Server überschrieben (was ich nicht wirklich bereue).
Kann das ein Einfluss auf die Profile haben, dass diese dann irgendwas Komisches machen (vergessen sich zu laden)?

Bin für jede Hilfe dankbar

Gruss
Bitte warten ..
Mitglied: DerWoWusste
10.09.2010 um 22:56 Uhr
Beschränk Dich doch erstmal auf einen Sachverhalt/eine Frage. Ich hab ein paar Probleme, durch den Wust durchzusteigen.
Wenn Du nur die Auserwählten als lokale Admins einsetzt hat das keinen Einfluss auf was auch immer Anderes.

Du musst aufklären, was alles an Einstellungen greift - es wirkt nicht so, als hättest Du den Durchblick behalten - nicht böse gemeint. Dann nimm einen frischen Test-PC und schau, was passiert, wenn Du Eure aktuellen Einstellungen auf den loslässt - bei Unsicherheit eine nach der anderen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 7
gelöst Lokale Gruppenrichtlinie, welche Einstellungen wurden gemacht? (7)

Frage von rudeboy zum Thema Windows 7 ...

Windows Userverwaltung
Benötigte Rechte für PC Domjoin (2)

Frage von Phill93 zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...