Kraftzwerg 10 Geschrieben 31. Mai 2011 Melden Teilen Geschrieben 31. Mai 2011 Hallo zusammen, habe gerade versucht die Berechtigungen eines Registry-Schlüssels via GPO zu ändern. Das System ist mir klar. Leider habe ich bislang keine Möglichkeit gefunden genau meine Anforderungen umzusetzen. Situation ist folgende: Key-XY hat folgende Berechtigungen: System:VZ Owner:VZ ComputerXX\Administrators:VZ ComputerXX\Users:Read ComputerXX steht dabei für den Namen des lokalen Rechners. Nun soll lediglich den Usern das Lesen verweigert werden. Also entweder ich lösche die Gruppe ganz oder ich verweigere ihnen das Recht. Soweit ok. Die GPO soll jedoch auf eine OU mit mehreren Rechnern wirken. Nun wird beim Einstellen der GPO ja die Berechtigung des Schlüssels für den Rechner ausgelesen, auf dem ich die Einstellungen vornehme. Also quasi mein Win7Client. Alle Rechner auf die die GPO wirkt bekommen dann für KeyXY die Berechtigungen: System:VZ Owner:VZ MeinWin7Client\Administrators:VZ MeinWin7Client\Users:Read Das bringts natürlich nicht. Kennt jemand ne Lösung, wie ich den Rechner "variabel" angeben kann. So dass am Computer "Hans1" auch Hans1\users steht etc.? Sowas wie "%computername%" oder "localhost"? Die tuns nämlich irgendwie nicht:( Thx Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 Wenn Du die Group Policy Preferences dazu benutzt, sieh dir auch die Zielgruppenadressierung im Reiter Gemeinsam an. Das könnte sein, was Du suchst. http://www.gruppenrichtlinien.de/Bilder/gpp_02.png Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Hm, leider ist das nicht das was ich suche. Oder ich sehe es nicht richtig. Kann ja durchaus sein. In den Preferences kann ich ja Registryeinträge Zielorientiert vornehmen. Allerdings sollen ja alle den gleichen key nutzen. Geht glaube ich auch nicht anders, da es einer aus dem Class-Root-Bereich ist. Mir geht es ja darum die Berechtigungen auf den Key anzupassen, nicht den Key selbst. Leider ist es so, dass ich beim Modifizieren der GPO immer die lokalen Gruppen des Rechners, der die GPO modifiziert, eingetragen bekommen. Nicht die des Rechners auf die sie wirkt. Sprich: Ich modifiziere die ACL auf meinem Rechner. Dazu navigiere ich im GPO-Editor auf den entsprechenden Key unter Class root und bekomme die ACL angezeigt. Also wird dort "meinClient\administrators" und "meinClient\users" als Gruppen angezeigt. Wenn ich diese Settings für die GPO speichere, dann wird auch auf den Zielcomputern "meinClient\administrators" und "meinClient\users" stehen. Eigentlich sollte dort aber "Zeilcomputer\administrators" und "Zielcomputer\users" stehen. Natürlich könnte ich die Users durch eine Domänengruppe ersetzen, aber das bringt mir nachher wieder Probleme. Suche also eigentlich nach einer Variable, die ich für den Hostnamen eintragen kann, so dass immer administrators und users des jeweilgen Zielcomputers in die ACL eingetragen werden. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 Mir geht es ja darum die Berechtigungen auf den Key anzupassen, nicht den Key selbst. Leider ist es so, dass ich beim Modifizieren der GPO immer die lokalen Gruppen des Rechners, der die GPO modifiziert, eingetragen bekommen. Nicht die des Rechners auf die sie wirkt. Die NTFS-Berechtigungen lassen sich natürlich auch zentral managen: Eingeschränkte Gruppen Und ja, es wird immer die Registry in GPEDIT.MSC (GPMC) benutzt, auf dessen Rechner du die GPMC aufrufst. Ich modifiziere die ACL auf meinem Rechner. Dazu navigiere ich im GPO-Editor auf den entsprechenden Key unter Class root und bekomme die ACL angezeigt. Also wird dort "meinClient\administrators" und "meinClient\users" als Gruppen angezeigt. Wenn ich diese Settings für die GPO speichere, dann wird auch auf den Zielcomputern "meinClient\administrators" und "meinClient\users" stehen. Eigentlich sollte dort aber "Zeilcomputer\administrators" und "Zielcomputer\users" stehen. Das ist ganz normal. Schnapp dir einen Testrechner und sieh dir das Resultat an. Glaub mir, das steht im Ziel korrekt drin. Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Tatsache, auf den Zielrechnern stehen wirklich deren lokale Gruppen drin. Hab das ganze gestern schonmal getestet. Könnt schwören da war es eben nicht so, sondern wie ich beschrieben habe... Nun gut. Danke dir jedenfalls für deine Hilfe!!! ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.