MikeKellner 10 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Hallo, ich habe für alle PCs eine GPO- Restricted Groups erstellt welche immer die Standard Einstellungen setzt. Administratoren- Members- Administrator und Domänen-Administratoren Nun müssen aber auf einigen PCs die User zu lokalen Admins ernannt werden. Ich will NICHT der bestehenden GPO eine weitere Gruppe oder User Einträge hinzufügen, weil ich verhinden will das der betreffende User auf allen Computern zum lokalen Admin wird. Der Kreis der User und ihr Wirkungsgrad soll somit so klein wie möglich gehalten werden. Sieht jemand eine Möglichkeit wie ich das lösen könnte? Danke Mike Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Moin, wenn der User lokaler Admin ist, hast du jede wirksame Beschränkung seines Wirkungskreises aufgehoben. Du solltest also prüfen, ob sich das dahinter stehende Ziel auch anders erreichen lässt. Wenn du erreichen willst, dass einzelne User auf ihren Rechnern zu lokalen Admins werden, musst du deine Policy auf jeden Fall ändern, denn sie würde jede Änderung an der Admingruppe zurücksetzen. Das ganze Konzept muss also neu gemacht werden. Gruß, Nils Zitieren Link zu diesem Kommentar
MikeKellner 10 Geschrieben 5. November 2009 Autor Melden Teilen Geschrieben 5. November 2009 Moin, wenn der User lokaler Admin ist, hast du jede wirksame Beschränkung seines Wirkungskreises aufgehoben. Du solltest also prüfen, ob sich das dahinter stehende Ziel auch anders erreichen lässt. Wenn du erreichen willst, dass einzelne User auf ihren Rechnern zu lokalen Admins werden, musst du deine Policy auf jeden Fall ändern, denn sie würde jede Änderung an der Admingruppe zurücksetzen. Das ganze Konzept muss also neu gemacht werden. Gruß, Nils Was könnte ein Denkansatz dabei sein? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Entweder erzeugst Du Dir eine OU und da kommen die Computerobjekte rein, auf denen andere Einstellungen gelten sollen. In diese OU linkst Du ein neues GPO, welches die angepassten Einstellungen hat. Oder Du lässt alles so wie es ist, erzeugst Dir ein neues GPO mit den entsprechenden Einstellungen und machst es mit der Sicherheitsfilterung (das neue GPO steht in der Priorität höher als das alte). Ob das durchführbar ist oder nicht hängt davon ab, wieviele User auf wievielen PCs es sind (zu viel wird zu unübersichtlich) ... Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Moin, Was könnte ein Denkansatz dabei sein? Benutzer nicht zu lokalen Admins machen. Ja, das ist mein Ernst. Gruß, Nils Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Das wäre ideal, sehe ich auch so ... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.