TS - Benutzerkonfiguration

Hallo,

ich habe hier einen 2K - TS.

Dieser TS weißt folgende Besonderheit auf:

1. Es gibt keine Domäne, er ist lediglich Mitglied in einer Arbeitsgruppe.

2. Es gibt weder DHCP, noch AD.

(so soll es auch sein, da es eine kleine Firma ist)

Nun gibt es aber kleinere Probleme mit der Benutzerverwaltung:

Die paar Nutzer die ich habe, sollen sich auf dem TS anmelden und relativ wenig machen dürfen. :D

Ich habe eine Benutzergruppe erstellt und dazu User.

Leider weiß ich absolut nicht, WO ich die notwendigen Einstellungen vorzunehmen habe. (Ihr ahnt schon, daß ich in dieser Hinsicht nicht gerade der Held bin.)

Sprich: Wie und wo weise ich den Usern oder der Benutzergruppe irgendwelche Rechte zu?

Ich freue mich, wenn Ihr mir helfen könntet.

Hi,

fangen wir doch erst mal mit der Frage an, welche Rechte Du Deinen Usern zuweisen möchtest, die diese noch nicht haben.

Dann können wir weiterreden :)

Gruß

Andre

Unter

http://www.gruppenrichtlinien.de und dort unter HowTo findest Du eine schöne Anleitung auch speziell zum Betreiben eines Terminalservers :)

Ich muß mich entschuldigen, da ich das Thema - wie ich gerade gelesen habe - in das falsche Board gepostet habe.

Also:

1. Was sollen die User dürfen?

Wenig :D

Aber mal ernsthaft: Sie sollen Ihre Software ausführen dürfen und die eingebenen Daten auch öffnen und speichern dürfen.

IE, Systemsteuerung, Explorer und Taskmanager sind tabu.

2. Das How To auf Gruppenrichtlinie.de

Das habe ich mir angeschaut.

Soweit ich das gesehen habe, setzt diese Anleitung einen DC und AD voraus. Genau das, was ich nicht habe und was ich auch nicht brauche.

Und die loopback Funktion betrifft ja auch den Admin, sprich alle User des TS.

3. wahrscheinlich stelle ich mir das zu einfach vor:

Mein Gedanke:

Ich erstelle eine Gruppe namens "TS User" und versehe sie mit den Mitgliedern.

Und dann weise ich die Rechte zu, die ich für sinnvoll halte. Das o.g. How To leistet da wertvolle Hilfe.

Und nun kommt genau das, was ich nicht verstehe:

Wo weise ich dieser Gruppe und den Mitgliedern die Rechte zu?

*grübel* Ist das wirklich so schwierig?

Es grüßt

JNIOS

Es gibt eine MMC-Konsole, die Gruppenrichtlinien heisst. Dieses Tool schreibt bei einem Standalone-Server direkt in die Registry. Also Vorsicht :) . Es gibt auf der Seite, die ich angegeben habe, eine Beschreibung, wie man mit fiesen Tricks Windows überlisten kann. Dieser Artikel ist zwar nicht für einen Server geschrieben, aber das Prinzip ist das gleiche. Alles in allem ist es ein schwieriges Unterfangen, auf einem Standalone-Server Guppenrichtlinien, die hier leider gar nicht so flexibel sind, zu etablieren.

Diese Beschreibung findest Du unter Wie?Was?Wo? - Systemrichtlinien ...

Vielleicht hilft sie Dir ein bisschen weiter ...

... oder sie treibt Dir Dein Vorhaben endgültig aus ;)

@IThome

Junge, halt den Ball flach. Was denn für fiese Tricks??

Das beschneiden von User-Rechten auf einem Terminalserver

ist gängige (und notwendige) Praxis.

Diese Beschreibung findest Du unter Wie?Was?Wo? - Systemrichtlinien ...

Dort steht auch:

Unterschiede Systemrichtlinien NT4 und Gruppenrichtlinien

Und jnios hat einen W2k-Server.

@jnios

Wo weise ich dieser Gruppe und den Mitgliedern die Rechte zu?

Das steht meine Ansicht nach unter "HowTo->Standalone ohne Server".

Dort wird eine Konfiguration für W2k beschrieben. Ich denke Du kannst das 1:1

auf Deine Situation übertragen.

Wenn Du kannst - und das solltest Du unbedingt - dann teste das vorher auf

einem Test-System. Denn allzu leicht sperrst Du dich selber aus.

MfG

mover

Ich meinte "fiese" Tricks und auch nicht bezogen auf die Richtlinien selbst, sondern auf die Art und Weise, wie in einem solchen Szenario getrickst werden muss ;)

Und mit dem Standort der Beschreibung haste natürlich recht (naja, war schon spät) :)

Hallo und vielen Dank für Eure Antworten!

Leider habe ich daheim nur ein XP Pro zur Verfügung und kann wohl einige Befehle nicht nachvollziehen (zu finden unter

http://www.gruppenrichtlinien.de/HowTo/Richtlinien_Standalone_ohne_AD.htm )

Den Punkt:

"2. Erstellung eines Vorlagen-Benutzers ABER als Mitglied der Administratoren! (Neuer User => "Vorlage" -> Administrator)"

kann ich so nicht erreichen.

Was ich daran nicht verstehe:

Der neue User - nennen wir ihn - Paul soll ja wenig dürfen. Trotzdem wird er Mitglied der Admistratoren (die ja alles dürfen).

Welchen Sinn macht das?

Ich kann mir vorstellen, daß die neuen Richtlinien (TS-User) für Paul die Rechte aus der Gruppe Administratoren überlagern, denn sonst würde die Beschränkung keinen Sinn machen.

Aber warum wird der dann Mitglied der Gruppe Admins?

Wenn ich den Zusammenhang richtig verstanden habe, würde ich mich als Administrator selbst aussperren, wenn ich folgendes falsch machen würde:

"3. Die registry.pol im \USER-Verzeichnis muß gelöscht oder umbenannt werden, oder dem Administrator per NTFS Berechtigungen das Leserecht verweigert werden. (...)

Ansonsten importiert der Administrator automatisch die Einstellungen aus diesem Verzeichnis in seine eigene ntuser.dat."

Will heissen:

Da User Paul Mitglied der Admins ist, würde auch ich als Administrator die beschränkten Rechte in meine ntuser.dat hinkopiert bekommen.

Oder????

Vielen Dank für Eure Hilfe bereits an dieser Stelle

Gruß

jnios

Mit Vorlagenbenutzer ist gemeint, dass der Benutzer (oder besser gesagt sein Benutzerprofil), den Du anlegen sollst, später als Grundlage für alle anderen gelten soll, es können natürlich auch mehrere Vorlagenbenutzer für verschiedene Grundeinstellungen existieren. Admin muss er aber sein, da Du sonst den Gruppenrichtlinieneditor nicht benutzen kannst. Dieser Benutzer ist kein Benutzer, der sich später einmal anmeldet.

Ich hoffe, ich habe das Problem richtig verstanden :)

Bei all der Fummelei an der lokalen Gruppenrichtlinie sollte man einen Notfallnutzer einrichten, der Mitglied der Gruppe der Administratoren ist und dementsprechend keinen Vollzugriff auf den Grouppolicy Ordner hat.

Ich (hoffe ich) verstehe:

@ IThome:

Es wird lediglich eine Vorlage erstellt, die zwar in die Registry eingetragen wird, aber nur dann aktiv wird, wenn ich sie

1. in ein Beutzerprofil kopiere und sich

2. dieser Nutzer anmeldet.

Alle anderen Benutzer werden davon nicht betroffen?

oder werden sie nur nicht davon betroffen, soweit sie - so wie Wolke beschrieben hat - Mitglied in der Gruppe der Admins sind?

Beispiel:

1. Ich habe die Benutzer Paul, Fritz und Erwin.

2. Ich erstelle eine Richtlinenvorlage mit den Namen TS_User.

3. Diese kopiere ich nur in den Ordner/das Profil von Paul.

Wird dann nur Paul betroffen? oder werden Fritz und Erwin auch davon betroffen, obwohl ich die Vorlage nur in das Profil von Paul kopiert habe?

Gruß

JNiOS

Was Du unter Benutzer:Administrative... einstellst gilt für den aktuell angemeldeten Benutzer und wird augenblicklich in die Registrierung geschrieben. Zusätzlich wird die Datei in das betreffende Benutzerprofil geschrieben und gilt daher nur für diesen Benutzer. Um jetzt diese Einstellungen, die ja im Moment nur diesen User betreffen, auf andere User anzuwenden, wird das Profil dieses Users in die entsprechenden Userprofile kopiert (wie beschrieben). Die registry.pol Datei, die ebenso erzeugt wird, darf sich aber nicht in %systemroot%\system32\GroupPolicy\User befinden bzw. für den Administrator zugänglich sein, wenn sich der Administrator anmeldet, also entweder löschen oder via Dateiberechtigung für den Administrator unzugänglich machen.

Die Einstellungen unter Computer:Administrative Vorlagen gelten allerdings für alle,auch den Administrator (mit Administrator meine ich den Benutzer,der Administrator heisst und nicht jeden,der Administrator ist)

So, habs grad mit Erfolg konfiguriert, vielleicht noch mal was zur Reihenfolge ...

1. Profilbenutzer anlegen (muss einer der Administratoren sein)

2. Anmelden mit dem Profilbenutzer

3. Gruppenrichtlinieneditor aufrufen und konfigurieren (teste erstmal nur unter Benutzer)

4. Da Du nicht unbedingt das Profil des soeben angelegten und momentan angemeldeten Benutzers kopieren musst (die User bekommen die Einschränkungen, in dem mit Hilfe der registry.pol eine ntuser.pol im Profilverzeichnis des Benutzers angelegt wird), meldest Du Dich nach und nach mit jedem Benutzer an, der eingeschränkt werden soll, aber NICHT mit dem Benutzer, der nicht eingeschränkt werden soll.

5. Anmelden mit dem Vorlagenbenutzer

6. Löschen der Datei registry.pol in %systemroot%\system32\grouppolicy\user (wenn Du mit NTFS-Berechtigungen arbeitest und z.B. der Gruppe der Administratoren den Zugriff verweigerst, kannst Du die lokale Richtlinie nicht mehr editieren, deswegen löschen)

7. Mit dem Administrator anmelden (er sollte keine Einschränkungen haben)

8. Mit einem der zuvor angemeldeten Benutzer anmelden (er sollte Einschränkungen haben)

Probiere erst mal etwas Unwichtiges aus (wie z.B. Hilfe aus dem Startmenü entfernen) und taste Dich dann weiter ran, melde Dich aber während der Testphase NICHT als Administrator an (wenigstens nicht, wenn die registry.pol noch existiert und dem Administrator zugänglich ist) sondern nur als Vorlagebenutzer

Korrigiert mich bitte, wenn etwas fehlt oder falsch ist oder die Reihenfolge verdreht ist ...

Kurzes Feedback... ich habe es leider noch nicht ausprobieren können (Hausputz) ;-)

Ich bedanke mich aber total, daß Du Dir mit mir soviel Mühe gibst! *jawoll*

Sobald ich es ausgetestet habe, gibt es sofort ein richtiges Feedback!

Ein wenig OffTopic, aber trotzdem erwähnenswert:

Frag Euren Controller (bzw. in der kleinen Firmen deinen Chef) doch mal, ob sich deine Basteleien mit Profilen auf dem Terminalserver etc., die Recherchen dafür usw. wirklich lohnen.

Mit den ganzen Arbeitsstunden lässt sich wahrscheinlich auch schnell und einfach eine AD-Domain aufziehen, wo dein Problem dann relativ einfach zu lösen gewesen wäre...

Aber ich kenne solche Chefs... ist ja oft so :)

Bei der nächstens Aktion würde ich das aber als Meinungsverstärker einsetzen, um vielleicht doch mal mit einer Domäne anzufangen. Vor allem, falls dein Chef mal vorhat zu expandieren.

Schönes WE noch!

Andre