Problem mit GPO für mehrere Benutzer auf einem Server

[Holti 10]

Hallo,

 

ich hoffe ich kann mein Problem hier gut genug darstellen.

Ich habe einen Server auf den verschiedene Personen in der Domäne zugreifen sollen und dürfen.

Einige der Benutzer sollen Adminrechte und einige nur eingeschränkte Rechte haben.

Ich habe jetzt probiert über die GPO das ganze zu regeln, allerdings werden bei mir nur die User auch eingeschränkt die sich in der OU befinden auf der die Richtlinie angelegt wurde.

Ich hab auch schon probiert die anderen User in den Sicherheitsfilter mit einzutragen, doch das bringt auch nichts da sich diese User in einer anderen OU befinden. Dort müssen die auch bleiben, da in den anderen OUs wiederum andere Richtlinien gelten.

Also ich möchte das diese bestimmten User auch nur auf diesem einen Rechner eingeschränkte Rechte haben. Irgendwie stehe ich gerade auf dem Schlauch und wäre über eine kleine Hilfe von euch sehr dankbar.

Vielen Dank im voraus.

 

Gruß

Holti

[PepeLupado 10]

Kannst du die entsprechenden User nicht einfach in eine Gruppe stecken und diese dann am Server die Berechtigung geben?

[Holti 10]

Hallo,

 

das habe ich bereits probiert aber irgendwie übernimmt er die Richtlinie nicht für die Gruppe.

Ich habe die Gruppe auch in den Sicherheitsfilter eingetragen und in den Eigenschaften steht auch Gruppenrichtlinie übernehmen. Wenn ich mich aber mit dem User der in der Gruppe steht anmelde bleiben alle Berechtigungen. Habe ich irgendwas übersehen?

Vielen Dank

 

Gruß

Holti

[Rudman 10]

Also Gruppenrichtlinien wirken erstmal nicht auf Gruppen, auch wenn es sich so anhört.

Deine erstellte GPO musst du auf die OU´s verknüpfen in denen sich die USER und / Oder Computerkonten befinden auf die sie wirken sollen.

Wenn es nur einige User aus einer OU sind steckst du diejenigen in eine Gruppe, diese Gruppe nutzt du Sicherheitsfilterung.

[Holti 10]

Vielen Dank für die Antwort.

Wenn ich das so mache gilt das aber auch für sämtliche andere Rechner.

So ist es zumindest jetzt bei mir. Kann ich das dann so machen das die Richtlinie dann nur auf den bestimmten PC verknüpft sind?

 

Gruß

Holti

[Rudman 10]

Dann musst die die PC´s die es betrifft mit in deine Gruppe legen.

[Holti 10]

Ok, ich habe jetzt eine Verknüpfung der GPO auf die Zentrale gemacht. Somit ist jetzt die GPO in allen OUs zu sehen. Die Computer sind in einer anderen OU ohne diese GPO hinterlegt und nur den einen Computer den es betrifft habe ich jetzt in eine der OUs die auch diese GPO haben kopiert. Leider ohne Erfolg. Irgendwie stehe ich wohl grad richtig auf dem Schlauch. ;-)

[Rudman 10]

Nutzt du gpmc.msc?

 

Je nach dem wie euer AD struktuiert ist, würde ich die GPO´s immer an die Domäne verknüpfen, wie du eben auch gemacht hast.

Alle die die GPO nutzen sollen steckst du in eine Gruppe ( Nutzer und Computerkonten ).

Diese Gruppe steckst du in die Sicherheitsfilterung der GPO und schmeißt alles andere raus.

 

Das muss gehen :)

[Holti 10]

Soedele, ich verzweifel grad an mir. :-(

Ich geh nochmal durch was ich gemacht habe.

Ich habe eine GPO SecureIntern angelegt und darin ein paar Einschränkungen definiert.

Diese befindet sich direkt befindet sich direkt im Root der Domäne.

Darunter befinden sich zahlreiche OUs unter anderem auch die OU TestSecure die meine GPO auch an 3. Stelle vererben (ist das evtl. schon das Problem).

In der OU Testsecure habe ich eine Gruppe (Sicherheit, Universal) TestSecGroup angelegt.

Dieser Gruppe habe ich 4 User (TestSecUser01 -04) und einen Computer (TestSecPC02) hinzugefügt.

Danach habe ich in dem Sicherheitsfilter des Group Policy Managers nur die Gruppe TestSecGroup angelegt. Die Richtlinie ist mit der Domäne verknüpft.

Wenn ich mich jetzt mit einem der User auf dem betroffenen System anmelde kommt keine der Einschränkungen aus der Richtlinie.

Wenn ich aber jetzt anstelle der Gruppe einen einzelnen User in den Sicherheitsfilter eintrage dann bekomme ich die Einschränkungen, allerdings auch auf allen anderen Systemen. :-(

Ich glaub ich bin heute einfach zu **** dazu. Danke auf jeden Fall schonmal für die Geduld und die Unterstützung.

 

Gruß

Holti

[Holti 10]

Hi Rudman,

 

Du hast nicht noch zufällig eine Idee oder? :-)

Danke

 

Gruß

Holti

[Rudman 10]

Wenn ich aber jetzt anstelle der Gruppe einen einzelnen User in den Sicherheitsfilter eintrage dann bekomme ich die Einschränkungen, allerdings auch auf allen anderen Systemen. :-(

Ich glaub ich bin heute einfach zu **** dazu. Danke auf jeden Fall schonmal für die Geduld und die Unterstützung.

 

Gruß

Holti

 

Ja sicher, wenn du einen User in die Sicherheitsfilterung einträgst, dann gilt das für den User egal auf welchen System er arbeitet. Für User gelten auch nur Benutzerkonfigurationen in der GPO.

Wenn du ein Computerkonto in die Sicherheitsfilterung einträgst dann gilt das nur für den einen Rechner, aber hier werden eben nur die Computerkonfigurationen aus der GPO übernommen.

 

Mach dir einen Plan was du erreichen willst.

Soll es nur Rechner betreffen, egal wer daran arbeitet.

Oder soll es User betreffen egal wo sie arbeiten.

 

Sorry für späte Meldung, ich stand zwischenzeitlich selber auf dem Schlauch, weil ich es mir nicht vorstellen konnte das es nicht klappt. Aber es klappt ja, nur zu gut ;)

[Holti 10]

Hi,

 

macht ja nix wegen der etwas späteren Antwort. Ich weiss das ihr auch noch anderes zu tun habt. :-)

 

Genauso wie Du es sagst funktioniert es ja auch wunderbar. :-)

Also habe ich halt das Problem das meine Wunschvorstellung wohl nicht tut.

Denn ich möchte das bestimmte User auf dem einen PC nur bestimmte Sachen machen dürfen, andere User aber auf dem gleichen PC wieder alles dürfen.

Ich denke das mir dann nur das eine bleibt, das ich einen User nehme und dem die Rechte gebe und das sich dann alle mit Einschränkungen nur über den User per RDP verbinden dürfen.

Anders scheint es wohl in der Konstellation nicht zu funktionieren.

Auf jeden Fall schonmal vielen Dank für die Hilfe.

 

Gruß

Holti