Lokale Gruppenrichtlinie nicht für Administratoren

Immer wieder wird gefragt, wie man auf lokalen Rechnern einer Arbeitsgruppe, also ohne Domäne, lokale Gruppenrichtlinien einrichten kann, die dann aber nicht für die Mitglieder der lokalen Administratorengruppe gelten.

Microsoft bietet dafür folgende Lösung an: http://tinyurl.com/w4i5

bzw. in Langform http://support.microsoft.com/default.aspx?scid=kb;de;293655&Product=WWin2000Ger

Eine weitere Möglichkeit besteht darin, mit dem guten alten, aus Win 9x und NT 4.0 bekannten, Poledit die Richtlinien zu bearbeiten. Es geht aber nicht der poledit von NT 4.0 oder Win9x, aber der aus dem Office XP Resource Kit, zu beziehen und Anleitung hier:

http://www.microsoft.com/office/ork/xp/appndx/appa18.htm

Diese Methode hat gegenüber der von Microsft genannten den Vorteil, dass man auch andere Benutzer oder Gruppen von den Richtlinien ausnehmen kann.

grizzly999

Schlüsselwörter:

lokal lokale Gruppenrichtlinie Gruppenrichtlinien Administrator Administratoren Ausnahme Arbeitsgruppe Workstation nicht gelten

Hi

Eine weitere Möglichkeit besteht darin, mit dem guten alten, aus Win 9x und NT 4.0 bekannten, Poledit die Richtlinien zu bearbeiten. Es geht aber nicht der poledit von NT 4.0 oder Win9x, aber der aus dem Office XP Resource Kit, zu beziehen und Anleitung hier:

Dazu habe ich folgende Frage: Wie kann ich mit dem Ding (dem Poledit aus dem Office XP Ressource Kit) unter W2K die Richtlinien bearbeiten ? Ich krieg es damit bisher nicht hin, die richtigen ADM-Files zu laden. Wie komme ich an ADM-Files, die mit dem Poledit kompatibel sind und mir erlauben, die Einstellungen analog zu den GPOs zu machen ?

Wäre cool, wenn mir da jemand helfen könnte.

Die ADM-Dateien müssen dazu absolut NT 4.0-konform sein, also die ganzen #if.... #endif Zeilen oder explain-Einträge gab es in den ADMs von NT 4.0 nicht.

grizzly999

Hi,

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.

Funktioniert wunderbar. Keine Schwierigkeiten.

Gruß

MacabroS

Sag mal funktionieren diese Konfigurationen auch für XP-Rechner?

Denn im Microsoft Text steht ja, dass es nur für Win2kPro und Win2kServer gelten würde???

:suspect:

Sag mal funktionieren diese Konfigurationen auch für XP-Rechner?

Denn im Microsoft Text steht ja, dass es nur für Win2kPro und Win2kServer gelten würde???

 

:suspect:

das wäre jetzt auch frage gewesen

nach dieser anleitung habe ich es schon ausprobiert aber wenn ich dann in den richtlinien nachschaue sind diese gesetzt aber sie funktionieren nicht als admin und bentzer

vieleicht habe ich ja etwas falsch gemacht ?

Hi,

 

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.

Funktioniert wunderbar. Keine Schwierigkeiten.

Kann man das auch im Domänenumfeld anwenden, dass GPOs umgesetzt werden, lokale Richtlinien aber nicht?

Jedes Domänen-GPO hat eine höhere Priorität als die lokale Richtlinie, wozu sollte man die lokale abschalten wollen ?

Weil man keinen Einfluss auf die GPOs hat und diese "nicht konfiguriert sind"

Was meinst Du mit "keinen Einfluss" ? Ich kann lokale Richtlinien mit SECEDIT z.B. beeinflussen, was man in einer Domäne normalerweise nicht macht, da es ja zentral möglich ist ...

Ich denke aber, dass wir irgendwie aneinander vorbei reden ... :)

Admin B hat keinen Einfluss auf die GPOs, er soll per lokalen Richtlinien öffentliche PCs absichern, die über die GPO Restriktionen hinaus gehen, also Richtlinien definieren die per GPO nicht definiert sind. Allerdings möchte er dass diese Richtlinien nicht für lokale Administratoren gelten.

Shrek

Hm, ich würde das mit Loopbackverarbeitung machen und nicht über lokale Richtlinien ...

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.

Das gibt sicher fette Rote Meldungen im Eventlog so kann er das Profil nicht sauber verarbeiten.

Grüsse