Bestimmte Domänenuser sollen Netzwerkverbindung ändern dürfen

[Maraun 12]

Hi zusammen,

 

wie im betreff beschrieben, sollen bestimmte User hier Ihre IP am Notebook (die per DHCP kommt) ändern können. Die Clients, auf denen das passieren soll, sind entweder Win7 oder XP Clients. Ich habe das mal als Test mit der Security Group Network Configurations Operator unter Windows XP versucht, allerdings scheint das nicht zu klappen, denn damit habe ich die notwendige Berechtigung nicht (eingeschränkter Zugriff auf TCP/IP Optionen, kein Recht zum ändern der IP-Einstellungen in Windows selber).

Wie kann ich denn das Problem lösen?

 

Anmerkung dazu:

Über die lokale Network Configurations operator sollte das klappen, aber die Laptops sind weit verstreut und ich will nicht alle Rechner von Hand anpacken.

Deshalb die Frage: Geht es per Security Group und GPO?

 

Grüße

Alex

[Axf 10]

Das kannst du als GPO einstellen, im GPMC unter Benutzerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen

 

Gruß

[Maraun 12]

Oder anders gefragt / formuliert: Da wir bereits einen Server 2008 R2 in der AD haben, gibt es auch die Möglichkeit der Restricted Groups. Die Erweiterung für XP ist ebenfalls bei usn ausgerollt. Dadurch kann ich sagen, dass eine Security Group auf den Rechnern, auf denen sie sich anmelden, lokale Netzwerkoperatoren sind. Meine Frage ist jetzt nur: Die User befinden sich in einer OU mit knapp 700 Rechnern. Wenn ich die GPO auf die OU zuweise, bekommen sie die Berechtigung dann auf allen 700 Rechnern? Macht es mehr Sinn, hier mit einem WMI-Filter oder einer zusätzlichen Rechnergruppe zu arbeiten? Im Prinzip sind es 20 User und somit auch knapp 20 Rechner (+/- Abteilungsnotebooks). Aber wäre mir jetzt nicht recht, wenn diese GPO die Security Group dann auf alle 700 Rechner als Netzwerk Operatoren definiert.

 

Grüße

Alex

[Axf 10]

Wenn die User, die die erweiterten Rechte brauchen, bereits in einer Sicherheitsgruppe sind, musst du nur in der OU zusätzlich zu der schon vorhandenen GPO eine weitere GPO hinzufügen. Hier auf vererbung achten und durch die zweite GPO die erste einschränken bzw. in deinem Falle erweitern und auf die Sicherheitsgruppe anwenden.

[Stefan W 14]

Bei den Ganzen GPOs dann auf das "Erzwingen" Flag achten - das kann ab und zu nach Hinten los gehen (wenn man nicht aufpasst)

lg

[Maraun 12]

Hi und danke euch,

 

soweit alles klar und funktioniert auch bereits. Mein Problem ist nur, dass ich gerne wissen würde, wie ich zusätzlich zu der Benutzer-Gruppe auch noch eine Computer-Gruppe definiere, für die die GPO gilt. Im Moment haben wir mehrere OU´s in denen die User verstreut sind und wenn ich die Restricted Group jeweils auf die Computer unterhalb der Standort-OU lege, dann werden diese User ja auf jedem Rechner lokale Netzwerkoperatoren, anstatt eigentlich nur auf den knapp 20 Rechnern, die sie auch nutzen. Klar könnte ich jetzt die Computer in eine speziele OU verschieben, das finde ich aber nicht optimal. Gibt es hier für die Restricted Group nicht auch eine Möglichkeit, eine Computer-Gruppe zu zu weisen?

 

Grüße

Alex

[Stefan W 14]

Du erstellst eine Gruppe, und fügst statt wie sonst Benutzer, einfach Computer hinzu (beim Hinzufügen gibt es oben eine Option, dass du dir Computer auch anzeigen lässt).

lg

[Maraun 12]

Guter Hinweis Sweigl.

Danke dafür. Idee hatte ich auch schon, werde ich jetzt umsetzen.

Danke für Eure Hilfe.

 

Grüße

Alex

[Maraun 12]

Hi,

 

also irgendwie will das mit der Gruppe und den beinhalteten Computern nicht funktionieren. Nachdem der Test-PC die richtige GPO gezogen hat, kann ich mich mit zwei normalen Domänenusern anmelden, aber keine Netzwerkeinstellungen ändern. Probiere ich das gleiche mit der Gruppe, die Benutzer beinhaltet, funktioniert es.

Noch jemand einen Tipp?

 

Grüße

Alex