Server 2008 R2 Policy

[gkorn 10]

Ich möchte in einer Server 2008 R2 Domäne einen User haben, der zwar geplante
Tasks ausführen kann, sich aber nicht als User an Workstations oder Server
anmelden kann. Ich habe eine OU angelegt, in der sich der User befindet. Auf
diese OU wirkt diese Policy:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen
\Lokale Richtlinien\Zuweisen von Benutzerrechten
- Anmelden als Dienst
- Anmelden als Stapelverarbeitungsauftrag
- Auf diesen Computer vom Netzwerk aus zugreifen
- Lokal anmelden verweigern
Leider wird diese Policy erfolgreich ignoriert, der User kann sich weiterhin
anmelden. Für einen Tipp wäre ich dankbar.

[NorbertFe 2.102]

Was sagt denn ein gpresult auf der/einer Maschine für diesen User?

 

Bye

Norbert

[Sunny61 811]

Du hast eine Computerkonfiguration erzeugt, die ignoriert dein Benutzerobjekt.

bearbeitet 25. Juli 2013 von Sunny61

[NorbertFe 2.102]

stimmt, das seh ich auch grad. Aber das hätte gpresult dann ja ebenfalls gezeigt. ;)

[gkorn 10]

Ich habe es mit dem Richtlinienergebnissatz Assisten versucht (was wohl das Gleiche ist), aber das funktioniert in meiner Testumgebung nicht. Ich habe SNMP und WMI nachinstalliert, aber ohne Erfolg. Muss mich erst mal darum kümmern.

Diese Einstellungen gibt es aber nur in der Computerkonfiguration.

[NorbertFe 2.102]

Ja, deswegen mußt du sie auch auf den Computer anwenden und nicht auf den User. Du lakierst dir doch auch nicht die Fingernägel grün, obwohl du eigentlich ein grünes Auto haben willst, oder?

 

Bye

Norbert

[RobertWi 81]

Moin,

 

und einfach in den Kontoeigenschaften des Benutezr-Konto die Anmeldearbeitsstationen zu pflegen, ist zu einfach?

[gkorn 10]

Das funktioniert natürlich. Nur glaube ich nicht dass dieser User eine geplante Task starten kann. Muss ich mal probieren. Wäre ja wirklich zu einfach ;-)

Aber Danke für die Anregung.

[NorbertFe 2.102]

www.gruppenrichtlinien.de hilft beim allgemeinen Verständnis (daran mangelt es hier anscheinend) von Gruppenrichtlinien.

 

Bye

Norbert

[gkorn 10]

Es wäre wirklich zu einfach gewesen. Nein es lässt sich auch keine Task mehr ausführen.

[Sunny61 811]

Welche Task willst Du denn ausführen lassen? Angaben im Stenomodus helfen hier niemand, und dir erst recht nicht. Was genau soll der Task machen? Benötigt der Benutzer dafür Admin Rechte? Lass dir nicht alles aus der Nase ziehen.

[RobertWi 81]

Sicher? Ich habe bei einem Kunden eine Konstellation, die (aus dem Kopf) ungefähr so aussieht, wie beim OP. Eventuell ist in der Liste aber auch nur genau der eine Rechner enthalten, auf dem der Task läuft. Kann ich im Augenblick nicht nachsehen.

[gkorn 10]

Schön dass ihr euch so bemüht, aber die Sache ist nicht so einfach. Ich habe es eben mit einer odinären Batch probiert die den Notepad startet. Geht nicht wenn der User überhaupt keine Anmeldeberchtigung hat. Im real life handelt es sich um ca. 300 Tasks die über 20 bis 30 Server verteilt sind. Die meisten benötigen Admin Rechte. Das Ziel ist es User zu haben, die im Netz als Admins fungieren können ohne die Möglichkeit sich an einem Rechner anzumelden. Weiß nicht wie ich es besser beschreiben soll.

[NorbertFe 2.102]

Schön dass ihr euch so bemüht, aber die Sache ist nicht so einfach.

Doch ist sie. Du mußt das GPO nur nicht auf den User anwenden, da der keine Computereinstellungen übernehmen wird. Sondern ganz einfach deinen PCs, auf die das zutreffen soll.

 

Bye

Norbert

[RobertWi 81]

 

Sondern ganz einfach deinen PCs, auf die das zutreffen soll.

 

Also eigentlich auf alle und damit gehört das dann in die Default Domain Policy.