Christoph_A4 10 Geschrieben 2. März 2008 Melden Teilen Geschrieben 2. März 2008 Hi, Folgende Aussage habe ich aus einem Buch: "Wenn Sie die Richtlinien eines Mitgleidsservers mithilfe des Tools 'Lokale Sicherheitsrichtlinie' bearbeiten, stehen nur die Bereiche 'Kontorichtlinien, lokale Richtlinien, Richtl. d. öffentl. schlüssel, Richtlinien für Softwareeinschränkung und IP-Sicherheitsrichtlinien' zur Verfügung." Klar, die Sicherheitsrichtlinie der Default Domain Policy und der Default Domain Controller Policy enthält noch das Ereignisprotokoll, eingeschränkte Gruppen, Dateisystem, Systemdienste. Jetzt aber meine Feststellung: Wenn ich die lokale Gruppenrichtlinie des Domänencontrollers öffne, steht mir AUCH nur die EINGESCHRÄNKTE Variante (ohne Dateisystem, Systemdienste, usw.) zur Verfügung. Laut Zitat soll diese einschränkung jedoch nur für Mitgleidsservern gelten. Habe ich meine VMWARE verhunzt, oder sieht es bei euch auf dem Domänencontroller genauso aus? Gruß Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 ...sieht es bei euch auf dem Domänencontroller genauso aus? Sieht hier genauso aus und ist m.E. auch logisch, da 'lokal' auch auf dem DC nur für den lokalen Conputer gilt. Warum MS sich da so auf Mitgliedsserver einschränkt, ist mir unklar. Vielleicht weil es auf dem DC in der Verwaltung den Eintrag 'Lokale Sicherheitsrichtlinie' in der Verwaltung gar nicht gibt? Zitieren Link zu diesem Kommentar
evilass 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Ich habe mal ein Screenshot gemacht. Ich hoffe es ist der richtige Ausschnitt. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Hallo Tatsächlich kann mit dem gpedit.msc eine lokale Richtlinie für den DC gemacht werden. (Ob es sinnvoll ist steht woanders). Die Default Domain Controller Policy sollte jedoch ganz "normal" aussehen (mit dem dsa.msc oder gpmc.msc bearbeitet werden) und diese sollte man eigentlich auch nicht verbiegen sondern eine neue mit den individuellen Einstellungen kreieren. Gruss Matthias Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ... Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ... Auch das kann in der Default Domain Controller GPO geregelt werden. Wir möchten bei 24 Domaincontroller auf jedem dieselbe Permission gesetzt haben ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Ja sicher kann man das und sollte es auch, wenn alles gleich sein soll. Wenn aber nicht, dann in der lokalen Richtlinie ... :) Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ... Wie machst du das denn "lokal"? Sicher nicht mit gpedit.msc, oder? ;) Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Na sicher (oder secpol.msc), dann gilt es auch nur für den bearbeiteten DC und nicht für alle (vorausgesetzt es gibt keine Richtlinie auf höherer Ebene, die das wieder überschreibt, was im oben genannten Beispiel in der Regel nicht so ist) ... Oder habe ich Dich da falsch verstanden ? :D Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 ... Bestes beispiel ist unser timeservice: - Die ganze Domain soll bei den Dcs die Zeit holen (domain default gpo). Windows Time Server: md5s, server1.domain.com;server2.domain.com;... 0x1 Die Dcs sollen die Zeit bei den Root FsMO1.domain.com, fsmo2.domain.com,0x1 holen --> Default Domain controller GPO (zusätzliche Default domain controller GPO enforced) Die Root FSMO's haben in Ihrer Default Domain Controller GPO den swisstime.ethz.ch als timeserver drin. Gruss MAtthias Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Wir haben einen Kunden, der 2 DCs hat. Dieser Kunde hat einen der DCs zum Terminalserver gemacht (ich weiss, dass man das nicht machen soll). Auf diesem DC ist das Benutzerrecht "Anmelden über Terminaldienste zulassen" via lokaler Richtlinie verändert worden, so dass sich die Benutzer via Remotedesktop nur an dem einen DC und nicht an beiden anmelden können ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.