W2k3 Terminal Server in Arbeitsgruppe

[MGAT 10]

Hallo,

 

dank der Suche habe ich ja schon einiges darüber gelesen, so wie ich es verstanden haben kann ich laut Sie wenden Lokale Richtlinien auf jedem Benutzer mit Ausnahme der Administratoren unter Windows Server 2003 in einer Einstellung von Arbeitsgruppe an die .pol datei einmal ändern und das war es dann auch schon auch wenn ich mich damit selber aussperre. Gibt es denn keine Möglichkeit ohne AD die Lokale Richtlinie für alle anderen Benutzer ausser dem Admin auch später nochmal abzuändern ?

 

MGAT

[IThome 10]

Mir ist da nichts bekannt, die Richtlinienanwendung auf einem Terminalserver, der nicht Mitglied einer Domäne ist, ist zwar möglich, aber ganz und gar nicht komfortabel. Gerade Änderungen sind schwierig ...

[Wolke2k4 11]

Es empfiehlt sich daher sowas wie einen GPO Admin einzurichten, der zum Bearbeiten der GPO Settings benutzt wird.

Mit dem richtigen Admin Account kommt man dann garnicht erst in die Verlegenheit sich selber auszusperren.

[MGAT 10]

@Wolke2k4

und wie stelle ich das an, dass mit dem GPO Admin ? Hast du da vielleicht ein Tut

 

mgat

[Wolke2k4 11]

Einfach einen neuen Admin Account erstellen und diesem das "Verweigern" Recht (Gruppenrichtlinie übernehmen) auf den GroupPolicy Ordner geben bzw. entziehen, wenn er die GPO wieder bearbeiten soll.

Der normale Administrator behält davon unberüht sein "Verweigern" Recht und kann sich somit auch nie aussperren.

[MGAT 10]

Hi,

vielen Dank, wenn ich es richtig verstanden haben soll ich auf dem Ordner C:\WINDOWS\system32\GroupPolicy\User die Berechtigung "Verweigern/ Erlauben" Recht (Gruppenrichtlinie übernehmen) geben, allerdings habe ich dieses Recht in den Sicherheitseinstellungen nicht muss das noch aktiviert werden oder schau ich am falschen ort nach ?

 

MGAT

[Wolke2k4 11]

Sorry Fehler vom Amt. Das Recht kannst Du IMHO nur in der GPMC vergeben. Verweigere einfach den Vollzugriff...

[MGAT 10]

Hi,

 

ich hab das GPMC mal installiert, kann es sein das es nur in einer Domäne funktioniert ?

 

MGAT

[Wolke2k4 11]

Ja ist richtig. Sorry manchmal drücke ich mich nicht eindeutig aus.

 

Das Verweigern des Vollzugriffes ist anstelle des Rechtes "Gruppenrichtlinie übernehmen" (welches nur in der GPMC verfügbar ist, die nur in einer Domain funktioniert) auf den GroupPolicy Ordner zu setzen...

[MGAT 10]

Hi,

hoffe ich nerve nicht zu stark, so wie ich es nun verstanden habe gehe ich folgendermaßen vor:

1. User GPOadmin mit Adminrechten erstellen

2. Den anderen Admins den Vollzugriff auf Odner C:\WINDOWS\system32\GroupPolicy\User verweigern

3. Dem gpoadmin je nachdem ob etwas geändert wird oder nicht den Vollzugriff auf dem Ordner geben oder verweigern

 

ist das so ok oder habe ich irgenwo was verdreht ?

 

Vielen Dank fürdeine super Hilfe

 

MGAT

[Wolke2k4 11]

Nein ist vollkommen richtig!

 

Beim GPOAdmin solltest Du dann halt darauf achten, dass Du keine Explorerfenster schliesst, die es Dir ermöglichen das Verweigernrecht nach der Anpassung der GPO zu setzen.

Wenn Du die GPO nämlich so einstellst, dass Du an die Explorer.exe oder die Laufwerke nicht mehr ran kommst hast Du Dich ausgesperrt, zumindest mit dem GPOAdmin. Letzte Rettung sind dann halt die Admin Accounts, die noch den verweigerten Zugriff haben...

 

Keine kompfortable Lösung aber machbar. ;)

[MGAT 10]

Hi,

vielen Dank werde ich ausprobieren

 

mgat