3
Lokale Rechte per Gruppenrichtlinie
Vergabe lokaler Rechte über die Gruppenrichtlinie: Probleme beim Login
Hallo zusammen
Ich hab folgendes Problem, dass sich mittlerweile gänzlich meiner Logik entzieht:
Bei mir sieht’s so aus (Server 2003 Standard):
OU_Benutzer
- OU_localAdmin (ca. 5 Mitglieder)
- OU_localUser (ca. 30 Mitglieder)
OU_Computer (einfach alle Computer reingeschmissen)
OU_Gruppen (mit vielen Untergruppen)
Ich möchte nun folgendes erreichen:
Alle Benutzer, die unter OU_localAdmin gespeichert sind sollen lokale Administratoren-Rechte haben, alle anderen (in OU_localUser) sollen der lokalen Gruppe Benutzer angehören. Dies soll auf allen Computern gelten und nicht nur auf einigen ausgewählten.
Versuch 1 (der meiner Meinung nach auch hätte klappen müssen):
Ich definiere eine Gruppe Loc_admin und Loc_user. Dann werfe ich alle Benutzer aus dem OU_localAdmin in die Gruppe Loc_admin und die Benutzer aus OU_localUser ins Loc_user.
Nun definiere ich eine Gruppenrichtlinie, die sich auf alle Benutzer bezieht und mit der OU_Computer verknüpft ist und definiere dort, dass die Gruppe SERVER\Loc_admin teil der lokalen Gruppe "Administratoren" sein soll. Analog dazu schreibe ich die SERVER\Loc_user in die Gruppe der lokalen "Benutzer" (Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen)
DAS KLAPPT GAR NICHT!!!! Ich kann mich mit keinem User mehr anmelden, da mir die Lokalen Rechte fehlen?! Was meiner Meinung nach nicht richtig ist.
Versuch 2 (der nun aber garantiert funktionieren sollte):
Ich schreibe jeden einzelnen Benutzer aus der OU_localUser resp. der OU_localAdmin via Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen in die jeweiligen lokalen Gruppen.
Einloggen geht nun auch wieder und ich sehe, dass die Benutzer der OU_localAdmin auch wirklich teil der lokalen Administratoren sind (jeder einzeln aufgeführt). GPRESULT ergibt, dass alles bestens ausgeführt wird.
Die normalen Benutzer können sich zwar einloggen, jedoch werden Ihre Profile nicht mehr korrekt geladen und die Gruppenrichtlinien welche ich für die Benutzer vergeben habe werden nicht angewandt (z.B. Zugriffverweigerung auf die Systemsteuerung uvm)
??????
Versuch 2-100 lass ich an dieser Stelle bewusst aus
Nun meine Frage an euch: Was mache ich da falsch?
Jede Hilfe ist willkommen!!
Gruss Serge
Ich hab folgendes Problem, dass sich mittlerweile gänzlich meiner Logik entzieht:
Bei mir sieht’s so aus (Server 2003 Standard):
OU_Benutzer
- OU_localAdmin (ca. 5 Mitglieder)
- OU_localUser (ca. 30 Mitglieder)
OU_Computer (einfach alle Computer reingeschmissen)
OU_Gruppen (mit vielen Untergruppen)
Ich möchte nun folgendes erreichen:
Alle Benutzer, die unter OU_localAdmin gespeichert sind sollen lokale Administratoren-Rechte haben, alle anderen (in OU_localUser) sollen der lokalen Gruppe Benutzer angehören. Dies soll auf allen Computern gelten und nicht nur auf einigen ausgewählten.
Versuch 1 (der meiner Meinung nach auch hätte klappen müssen):
Ich definiere eine Gruppe Loc_admin und Loc_user. Dann werfe ich alle Benutzer aus dem OU_localAdmin in die Gruppe Loc_admin und die Benutzer aus OU_localUser ins Loc_user.
Nun definiere ich eine Gruppenrichtlinie, die sich auf alle Benutzer bezieht und mit der OU_Computer verknüpft ist und definiere dort, dass die Gruppe SERVER\Loc_admin teil der lokalen Gruppe "Administratoren" sein soll. Analog dazu schreibe ich die SERVER\Loc_user in die Gruppe der lokalen "Benutzer" (Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen)
DAS KLAPPT GAR NICHT!!!! Ich kann mich mit keinem User mehr anmelden, da mir die Lokalen Rechte fehlen?! Was meiner Meinung nach nicht richtig ist.
Versuch 2 (der nun aber garantiert funktionieren sollte):
Ich schreibe jeden einzelnen Benutzer aus der OU_localUser resp. der OU_localAdmin via Einstellungen unter Computerrichtlinie>Windows..>Sicherheit...>Eingeschränkte Gruppen in die jeweiligen lokalen Gruppen.
Einloggen geht nun auch wieder und ich sehe, dass die Benutzer der OU_localAdmin auch wirklich teil der lokalen Administratoren sind (jeder einzeln aufgeführt). GPRESULT ergibt, dass alles bestens ausgeführt wird.
Die normalen Benutzer können sich zwar einloggen, jedoch werden Ihre Profile nicht mehr korrekt geladen und die Gruppenrichtlinien welche ich für die Benutzer vergeben habe werden nicht angewandt (z.B. Zugriffverweigerung auf die Systemsteuerung uvm)
??????
Versuch 2-100 lass ich an dieser Stelle bewusst aus
Nun meine Frage an euch: Was mache ich da falsch?
Jede Hilfe ist willkommen!!
Gruss Serge
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150666
Url: https://administrator.de/contentid/150666
Printed on: April 25, 2024 at 16:04 o'clock
3 Comments
Latest comment
Hi.
Du willst einem bestimmten Personenkreis Adminrechte auf allen PCs geben, der Rest soll Userrechte bekommen, wenn ich Dich richtig verstehe.
Dazu zitiere ich einen Beitrag aus experts-exchange: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
---
You can deploy Restricted Groups in either an additive or a destructive fashion:
In Deinem Fall musst Du also (ohne irgendwelche OUs zu benötigen) eine Gruppe LokaleAdmins anlegen, diese in einer GPO, welche auf alle Computerobjekte wirkt, als eingeschr. Gr. ausweisen und bei "Mitlied von" Administratoren angeben und fertig.
Normale User müssen nicht extra definiert werden. Domänennutzer sind immer zunächst in der Gruppe Benutzer drin.
Du willst einem bestimmten Personenkreis Adminrechte auf allen PCs geben, der Rest soll Userrechte bekommen, wenn ich Dich richtig verstehe.
Dazu zitiere ich einen Beitrag aus experts-exchange: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
---
You can deploy Restricted Groups in either an additive or a destructive fashion:
- Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
- Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
In Deinem Fall musst Du also (ohne irgendwelche OUs zu benötigen) eine Gruppe LokaleAdmins anlegen, diese in einer GPO, welche auf alle Computerobjekte wirkt, als eingeschr. Gr. ausweisen und bei "Mitlied von" Administratoren angeben und fertig.
Normale User müssen nicht extra definiert werden. Domänennutzer sind immer zunächst in der Gruppe Benutzer drin.
Danke für die Antwort aber das löst mein Problem leider nicht.
Nachdem ich das gemacht habe können sich zwar die Administratoren ohne Probleme anmelden und Ihre Gruppenrichtlinien anwenden, jedoch die Benutzer machen da mehr Zicken:
Ich melde mich also als Benutzer an. Das erste was auffällt ist, dass die Desktop-Einstellungen komplett anders sind (einige Verknüpfungen, Hintergrund etc. sind weg oder anders als vorher). Ich schliesse daraus, dass die Profile nicht richtig geladen werden. Nun sei es denn so, aber die Richtlinien werden ebenfalls nicht richtig geladen. Zum Beispiel habe ich den Usern verboten die Eingabeaufforderung zu benutzen. Diese funktioniert auch und ich nutze die Gelegenheit "gpresult" auszuführen. Die Antwort des Befehls ist eher ernüchternd. Die Computerrichtlinien sowie die Benutzerrichtlinie, die explizit verbietet, dass die Eingabeaufforderung verwendet werden darf, werden angewendet. Nun versuche ich ein "gpupdate" und siehe da, die Richtlinien werden ohne Probleme erneuert. Obwohl dies ein Chicken/egg- Problem darstellen müsste (eine Richtlinie zu laden, die einem das erneuern der Richtlinie verbietet). Eine Veränderung/Anwendung ist nicht erkennbar.
Das ganze kommt mir etwas komisch vor, aber ich mag mich erinnern, dass mein Vorgänger bei jedem Computer manuell die Gruppe Domänen-Benutzer den Administratoren zugeordnet hatte. Diese Einstellungen habe ich wohl durch mein rumgebastel auf dem Server überschrieben (was ich nicht wirklich bereue).
Kann das ein Einfluss auf die Profile haben, dass diese dann irgendwas Komisches machen (vergessen sich zu laden)?
Bin für jede Hilfe dankbar
Gruss
Nachdem ich das gemacht habe können sich zwar die Administratoren ohne Probleme anmelden und Ihre Gruppenrichtlinien anwenden, jedoch die Benutzer machen da mehr Zicken:
Ich melde mich also als Benutzer an. Das erste was auffällt ist, dass die Desktop-Einstellungen komplett anders sind (einige Verknüpfungen, Hintergrund etc. sind weg oder anders als vorher). Ich schliesse daraus, dass die Profile nicht richtig geladen werden. Nun sei es denn so, aber die Richtlinien werden ebenfalls nicht richtig geladen. Zum Beispiel habe ich den Usern verboten die Eingabeaufforderung zu benutzen. Diese funktioniert auch und ich nutze die Gelegenheit "gpresult" auszuführen. Die Antwort des Befehls ist eher ernüchternd. Die Computerrichtlinien sowie die Benutzerrichtlinie, die explizit verbietet, dass die Eingabeaufforderung verwendet werden darf, werden angewendet. Nun versuche ich ein "gpupdate" und siehe da, die Richtlinien werden ohne Probleme erneuert. Obwohl dies ein Chicken/egg- Problem darstellen müsste (eine Richtlinie zu laden, die einem das erneuern der Richtlinie verbietet). Eine Veränderung/Anwendung ist nicht erkennbar.
Das ganze kommt mir etwas komisch vor, aber ich mag mich erinnern, dass mein Vorgänger bei jedem Computer manuell die Gruppe Domänen-Benutzer den Administratoren zugeordnet hatte. Diese Einstellungen habe ich wohl durch mein rumgebastel auf dem Server überschrieben (was ich nicht wirklich bereue).
Kann das ein Einfluss auf die Profile haben, dass diese dann irgendwas Komisches machen (vergessen sich zu laden)?
Bin für jede Hilfe dankbar
Gruss
Beschränk Dich doch erstmal auf einen Sachverhalt/eine Frage. Ich hab ein paar Probleme, durch den Wust durchzusteigen.
Wenn Du nur die Auserwählten als lokale Admins einsetzt hat das keinen Einfluss auf was auch immer Anderes.
Du musst aufklären, was alles an Einstellungen greift - es wirkt nicht so, als hättest Du den Durchblick behalten - nicht böse gemeint. Dann nimm einen frischen Test-PC und schau, was passiert, wenn Du Eure aktuellen Einstellungen auf den loslässt - bei Unsicherheit eine nach der anderen.
Wenn Du nur die Auserwählten als lokale Admins einsetzt hat das keinen Einfluss auf was auch immer Anderes.
Du musst aufklären, was alles an Einstellungen greift - es wirkt nicht so, als hättest Du den Durchblick behalten - nicht böse gemeint. Dann nimm einen frischen Test-PC und schau, was passiert, wenn Du Eure aktuellen Einstellungen auf den loslässt - bei Unsicherheit eine nach der anderen.
