[gelöst] GPO für lokalen Administrator

[Cryer 17]

Ich möchte einen Benutzer, der auf den Clients über Adminrechte verfügt um beispielsweise Software zu installieren. Dafür habe ich mich genau an dieses Video gehalten, dass erklären soll, wie man das mittels GPO regeln kann. Leider klappt es bei mir nicht. In einem Test versuche ich den Gerätemanager zu öffnen und werde nach Admindaten gefragt. Jemand eine Idee? Hat der Typ im Video etwas vergessen?

 

gpupdate /force habe ich natürlich gemacht, Das Anmeldescript wird verarbeitet. GPOs scheinen also verarbeitet zu werden.

bearbeitet 5. Juli 2016 von Cryer

[NorbertFe 2.097]

/force? Aha, weil das so nach starwars klingt?

 

Erstens schlechtes Design sowas auf Domain Ebene zu verlinken, zweitens was passiert denn? Eventlog Einträge?

[Cryer 17]

Was ist an /force falsch?

Auf dem Client keine Auffälligkeiten, keine Warnungen oder Fehler.

 

Kurz zwischenrein gefragt: Kann man mittels cmd-Script bei der Anmeldung überprüfen,. bzw. sich anzeigen lassen, welche GPO verarbeitet wurden? Würde denke ich in der Situation helfen, wobei ich sicher bin, dass alle GPOs verarbeitet werden. Ich habe für jede Aufgabe eine eigene GPO erstellt und was ich prüfen konnte wurde auch verarbeitet. Nur das mit dem lokalen Admin klappt nicht, aber warum sollte ausgerechnet diese GPO nicht verarbeitet werden?

 

[NorbertFe 2.097]

Was ist an /force falsch?

SChonmal geschaut, wofür /force überhaupt ist? Oder machst du das, weils so martialisch klingt? Oder einfach nur so? :)

 

Kurz zwischenrein gefragt: Kann man mittels cmd-Script bei der Anmeldung überprüfen,. bzw. sich anzeigen lassen, welche GPO verarbeitet wurden? Würde denke ich in der Situation helfen, wobei ich sicher bin, dass alle GPOs verarbeitet werden. Ich habe für jede Aufgabe eine eigene GPO erstellt und was ich prüfen konnte wurde auch verarbeitet. Nur das mit dem lokalen Admin klappt nicht, aber warum sollte ausgerechnet diese GPO nicht verarbeitet werden?

Da fallen mir jetzt echt genug Gründe ein. ;) Ansonsten schau dir gpresult /h an, da siehst du genau welche angewandt wird und welche nicht und warum.

 

Wenn ich den Bild interpretiere, hoffe ich mal, dass in der OU lokale Administratoren keine User sondern Computerobjekte stecken. Ansonsten üben wir nochmal, wofür Computerrichtlinien gelten. ;)

 

Bye

Norbert

[Cryer 17]

OK, du wirst mich gedanklich erschlagen, aber in der OU "_*****Administratoren" steckt ein Benutzer, bzw. Gruppe, welche ich für die lokale Administration vorgesehen habe. (Auf dem DC soll der gar nix machen) Ich habe es genau wie in dem verlinkten Video gemacht. Ich will ja, dass ein bestimmter Benutzer Adminrechte hat und nicht jeder der sich an dem Computer anmeldet.

 

/force verwende ich weil es heißt, dass die Richtlinie dann sofort und ohne Verzögerung aktualisiert wird. Force bedeutet ja "zwingen" oder "erzwingen", also ich erzwinge den Vorgang. Außerdem soll es hilfreich sein, wenn man eine GPO ändert. Ist das alles falsch bzw. nicht mehr gültig?

[NorbertFe 2.097]

Nee hast du nicht. Worauf wirken "COMPUTER-Richtlinien"? Und was steckt in deiner OU? Jetzt deutlicher? /Force hat mit der "zeitlichen Anwendung" überhaupt nichts zu tun. Lies dir doch einfach mal die Hilfe dazu durch? Oder hast du /? noch nicht gefunden? ;) Deine Aussage ist insofern falsch und war noch nie gültig. Im Gegenteil habe ich dafür schon genug Fehler gesehen, die durch die permanente Verwendung von /Force durch die Admins gar nicht als Fehler erkannt wurden.

 

Bye

Norbert

 

PS: Nein, du hast es nicht genauso wie im Video /gemacht/, denn du hast es richtigerweise auf eine OU verlinkt. Nur eben auf die falsche. :p

bearbeitet 5. Juli 2016 von NorbertFe

[Cryer 17]

Hä, wieso auf die Falsche? (Bin ich jetzt vollkommen verblödet?) Die GPO ist doch in der OU der Administratoren, also dort wo ich sie haben will (Hatte die GPO aber testweise auch schon direkt dort wo Internet Explorer und Drucker stehen, also eins drüber. Änderte nix.)

 

Edit: Hier das GPresult:

 

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
    _********_Administratoren_Scripte
    Lokaler Administrator
    Default Domain Policy
    Internet Explorer
    Kennwortrichtlinie

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
    Richtlinien der lokalen Gruppe
        Filterung:  Nicht angewendet (Leer)

    Drucker
        Filterung:  Verweigert (Sicherheit)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
    _G_********_Administratoren
    Jeder
    Remotedesktopbenutzer
    Benutzer
    INTERAKTIVE REMOTEANMELDUNG
    INTERAKTIV
    Authentifizierte Benutzer
    Diese Organisation
    LOKAL
    Von der Authentifizierungsstelle bestätigte ID
    Mittlere Verbindlichkeitsstufe

Scheint also grundsätzlich verarbeitet zu werden, aber die Mitgliedschaft ist falsch. Hier ein Screen, wie es eigentlich ist:

 

bearbeitet 5. Juli 2016 von Cryer

[Sunny61 810]

Das GPO mit den *Computereinstellungen* kann nur auf *Computer* wirken, verstehst Du? Und außerdem, Gruppenrichtlinien greifen nicht auf Gruppen, sondern nur auf Objekte, die Mitglied einer Gruppe sein können. ;)

[NorbertFe 2.097]

Hä, wieso auf die Falsche? (Bin ich jetzt vollkommen verblödet?)

Da du immer meine Aussagen ignorierst, möchte ich dem fast zustimmen. Aber es ist ja schon spät am Abend.

 

Die GPO ist doch in der OU der Administratoren, also dort wo ich sie haben will

Du willst, dass der Computer eine Gruppe bzw. einen USer der Domäne zum lokalen Administrator macht. Also wer sollte DAS GPO ausführen? Der User der Admin werden soll, oder der Computer, auf dem der User Admin werden soll?

 

Bye

Norbert

 

 

PS: Wenns jetzt immer noch nicht klick macht, dann würde ich sagen, schau dir mal die Grundlagen insgesamt nochmal an. ;)

[Cryer 17]

Dann ist das in dem Video aber auch nicht vollständig erklärt. Das man mit den Computerobjekten noch was machen muss wird dort nicht im ansatz gezeigt. Der fuchtelt da nur mit den Benutzern, Benutzergruppen und den GPOs rum. (mich verteidig)

[NorbertFe 2.097]

Der verlinkt das Ding am Ende auf DOmänenebene (schlechter Stil) und trifft damit logischerweise ALLE Computer in der Domain (und alle User, aber die ignorieren das, weils eben eine COMPUTERRICHTLINIE ist). So und jetzt übst du:

 

[Cryer 17]

OK, aber ich habe es (jetzt gerade auch wieder) testweise auf Domänenebene erstellt (Später bekommen die Computer ihre eigene OU). Mit gpupdate (diesmal ohne /force) die Richtlinie aktualisiert und mich angemeldet. Klappt leider nicht. Beim Aufruf des Gerätemanagers schreit er nach dem Admin.

[NorbertFe 2.097]

Wir können jetzt noch ganz viel testen, aber ich würde sagen nimm mal die Anleitung:

http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ (weiter unten).

 

Ich denke Mark hat das etwas sinnvoller erklärt und nicht son blödes Youtube Video, von denen ich bis heute nicht verstehe, was daran so toll sein soll. :p

[Cryer 17]

Funktioniert jetzt. Der Client wollte unbedingt nochmal neu gestartet werden. Ab- und Anmelden alleine reicht nicht. Vielleicht hilft es mal noch jemand anderem. Dir aber Danke NorbertFe. Habe durch diesen Thread trotzdem wieder viel gelernt.

[NorbertFe 2.097]

Ja logisch. Anmelden hat ja auch nichts mit Computerrichtlinien zu tun. ICh glaub du solltest doch nochmal die Grundlagen verinnerlichen. ;)

 

Bye

Norbert

 

PS: Wieso "trotzdem" wieder was gelernt? Das war hier Grundlagenarbeit, wär ja wohl schlimm, wenn das _nur_ trotzdem gewesen wär. :p

bearbeitet 5. Juli 2016 von NorbertFe