Ald-Edv 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Hallo, ich habe hier einen Rechner in der Produktion. (WinXP SP2) Der Rechner meldet sich am Win2003 Domänenserver an. Jetzt möchte ich dem User alle Desktop Symbole usw. Startmenü etc per GPO wegnehmen. Ich habe den User in einer eigenen OU. Das Computerkonto ist unter dem Standardcontainer Computer im AD eingetragen. so........... die Gruppenrichtlinie habe ich auf die OU gelegt in welcher der Benutzer ist. Desktopsymbole usw. habe ich hier deaktiviert über den Bereich Benutzerkonfiguration. Jedoch möchte ich dem User aber die Möglichkeit geben z.B. die Uhrzeit zu ändern. Die Option ist jedoch in der GPO unter Computerkonfiguration vorhanden und scheint nicht zu ziehen.... muss ich hier das Computerkonto in eine eigene OU nehmen? Möchte ich aber nicht.... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Du kannst auch eine Richtlinie auf Domänenebene erstellen und in der Sicherheitsfilterung definieren, dass sie nur von dem betreffenden Computerkonto übernommen wird und nicht von den Authentifizierten Benutzern ... Warum Du allerdings keine OUs für die Computerkonten erstellst, weiss ich nicht (muss ja irgendeinen Grund haben) ... Eventuell wäre auch Loopbackverarbeitung eine Option, so dass nur auf diesem Computer sehr einschränkende Einstellungen für alle oder gewisse Benutzer angewendet werden ... Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 22. Februar 2007 Autor Melden Teilen Geschrieben 22. Februar 2007 also die Einstellungen der GPO Computerkonfiguration zieht nur, wenn das Computerkonto im AD in der OU liegt mit meiner GPO richtig? dem Benutzer kann ich nicht irgendwie zuordnen, dass er die Uhrzeit ändern darf? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Der Benutzer benötigt das Benutzerrecht die Uhrzeit verändern zu dürfen und das ist eine Computereinstellung. Hat er dieses Recht ? Der Computer muss sich nicht in einer OU befinden, er muss sich nur in Reichweite des GPOs befinden ... Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 22. Februar 2007 Autor Melden Teilen Geschrieben 22. Februar 2007 ok, hab ich verstanden. Bei Win2003 ist es ja nicht mehr so, dass der Administrator auch von dieser Richtlinie irgendwie betroffen sein könnte. Sprich das ganze Gedöns mit Loopbackverabeitung wie bei Win 2000 Srv kann ich mir sparen. Sprich ich kann mich da nicht irgendwie als Admin selbst aussperren...!? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Wieso kann der Administrator nicht von der Richtlinie betroffen sein ? Von welcher Richtlinie überhaupt ? Die Loopbackverarbeitung benutzt man, um Benutzerrichtlinien nur auf bestimmten Computern azuwenden und nicht auf jedem Computer (wie bei Terminalservern z.B., obwohl es natürlich nicht auf Terminalserver beschränkt ist) ... :) Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 22. Februar 2007 Autor Melden Teilen Geschrieben 22. Februar 2007 also wenn ich jetzt die GPO auch noch auf das Computerkonto lege und sich der Administator dann an diesem Rechner anmeldet greift die GPO auch? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Das war nur ein Vorschlag, dass Du die Loopbackverarbeitung aktivieren könntest, damit jeder, der sich an diesem Rechner anmeldet, eingeschränkt wird (obwohl es schwierig ist, wenn der Computer sich nicht in einer OU befindet). Willst Du dem speziellen User das Benutzerrecht gewähren, die Zeit zu verändern, musst Du auf Domänenebene ein GPO erstellen, welches in der Computerkonfiguration das Benutzerrecht so anpasst, dass zusätzlich zu den per Default angegebenen Gruppen dieser User dort eingetragen wird. Damit nicht jeder Computer unterhalb der Domäne (also auch alle, die sich im Container Computer befinden) diese Richtlinie anwendet, ersetzt Du in der Sicherheitsfilterung des GPOs die Authentifizierten Benutzer gegen das Computerkonto des betreffenden Rechners und konfigurierst Lesen und Gruppenrichtlinie übernehmen auf erlauben. Wenn der Benutzer sich in einer eigenen OU befindet und im dort gelinkten GPO Einschränkungen in der Benutzerkonfiguration vorgenommen werden, gilt das natürlich nur für diesen Benutzer (allerdings überall, wo er sich anmeldet), denn sonst befindet sich ja kein anderes Benutzerobjekt in der Reichweite dieser Richtlinie ... Es ist auf jeden Fall einfacher zu handhaben, wenn dieser Computer in einer eigenen OU steckt (insbesondere die Loopbackverarbeitung, sofern gewünscht) ... Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 22. Februar 2007 Autor Melden Teilen Geschrieben 22. Februar 2007 Hi, was passiert, wenn ich in der Default domain Richtlinie die Option "Ändern der Systemzeit" aktiviere und nur diesen User eintrage? Kann dann der Admin noch ändern oder nicht? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Dann gilt es für jeden Rechner der Domäne (ausgenommen die Domänencontroller) und nur für diesen Benutzer, was keine gute Idee ist. Du kannst solch eine Richtlinie aber schon auf Domänenebene linken, solltest aber sicherheitsfiltern (damit es nicht jeden Computer betrifft) und solltest nicht nur den Benutzer eintragen ... Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 22. Februar 2007 Autor Melden Teilen Geschrieben 22. Februar 2007 Hi wenn ich statt den User einfach Domänenbenutzer hinzufüge kann es jeder machen, der sich an der Domäne anmeldet (auch der Admin) egal von welchem Pc, korrekt? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Ja, das könnte dann jeder, aber eigentlich sollten die Benutzer die Zeit nicht ändern können. Wenn sie das tun, könnte es passieren, dass sie auf einmal nicht mehr zugreifen dürfen. Denke dran, dass das auch für alle Server gilt (nicht für die DCs). Auf einem DC steht dort auch "Lokaler Dienst", bei einem Member schaue ich gerade (dort steht es aber meiner Meinung nach auch) ... edit: ja, "Lokaler Dienst" wird auch dieses Recht gewährt. Wenn Du das tatsächlich machen willst (warum auch immer), dann erzeuge ein neues GPO, linke es in die Domäne und setze es über die Default Domain Policy. Lass es aber lieber, die Zeit muss synchron laufen, was dann nicht mehr gewährleistet ist ... Zitieren Link zu diesem Kommentar
Squire 273 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Ich frag mich eh schon, was das soll? In einer Domäne muss die zeit einheitlich sein, da sonst die komplette Kerberos Geschichte nicht mehr funktioniert. Wie ITHome schon schreibt ... wenn der User jetzt aus jux und Tollerei die zeit um ne Stunde vor oder zurück stellt und dann versucht sich nach nen Neustart anzumelden läuft er gegen die Wand! In einer Domäne sollte kein user das Recht zum Ändern der lokalen Rechnerzeit haben! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Februar 2007 Melden Teilen Geschrieben 22. Februar 2007 Hab noch editiert, hatte Deinen Beitrag aber nicht gesehen ... :) Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 22. Februar 2007 Autor Melden Teilen Geschrieben 22. Februar 2007 Hi, da habt ihr auch wieder recht.... Probleme ist folgendes: Habe hier ein paar Rechner auf denen ein Polling Programm läuft, sprich der Rechner läuft immer durch, meldet sich nie frisch an und es ist wichtig dass er die richtige Uhrzeit hat... Jemand ne Idee wie ich das sonst machen kann? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.