dwoe 10 Geschrieben 26. Februar 2004 Melden Teilen Geschrieben 26. Februar 2004 Hallo, hier mal mein erster Versuch im Forum - hoffentlich finde ich Hilfe: wir haben bei uns im Netzwerk die Situation, dass die einzelnen Benutzer nur jeweils einer Gruppe angehören (zB.: Angestellte oder Hiwis...). Darüber wird der Zugriff auf freigegebene Netzwerkresourcen geregelt. Die Gruppe Angestellte gehört selber keiner Gruppe an, was dazu führt das man auf seinem lokalen Rechner kaum noch Rechte hat (nicht mal mehr die Uhrzeit stellen). Aus unterschiedlichen Gründen müssen aber - im Gegensatz zur Gruppe Hiwis - die Angestellten Administratoren sein auf Ihren lokalen Rechnern (ich weiß, das wird nicht gern gesehen - ist aber nötig). Was ich dann gemacht habe: - im AD rechte Maus auf die Domäne -> Eigenschaften -> Gruppenrichtlinien - eine neue angelegt "Alle zu Admins" - diese bearbeiten - unter Computerkonf. -> Windows. -> Sicherheits. -> eingeschränkte Gruppen die Gruppe "Administratoren" hinzugefügt - dieser Gruppe die Mitglieder Administrator und Angestellte hinzugefügt - fertig Meine Fragen jetzt: 1. ist mein Ziel: lokale Admins <-> im Netz Gruppen damit erreicht? 2. ist mit der Gruppe Administratoren der lokale Administrator gemeint oder ein in der ganzen Domäne gültiger? 3. Muss ich sonst noch etwas beachten und wie kann ich überprüfen, ob alles richtig klappt (ob z.B. Niemand mehr unerlaupte Sachen anstellen kann)? So, das war ja wohl einiges für den Anfang. Vielen Dank Dirk Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 26. Februar 2004 Melden Teilen Geschrieben 26. Februar 2004 Im Prinzip ist das mit den Eingeschränkten Gruppen der richtige Weg, nur zwei Sachen: 1) Da du das auf der Domäne gemacht hast, und nicht auf einer/mehreren OUs gilt das auch für die DCs, das bedeutet, die User sind auch auf den DCs lokale Admins. Hmmm :rolleyes: Also vielleicht die GPO filtern (Sicherheitseinstellungen und Gruppe Domaincontroller das Übernehmen der GPO verweigern :) ) 2) Normalerweise ist die Gruppe Domänen-Admins automatisch auaf allen Rechnern in der lokalen Admingrupppe Mitglied. Bei dir jetzt nicht mehr, wenn ich das richtig in Erinnerung habe, da du die Domänen-admins nicht in die eingeschränkte Gruppe mit aufgenommen hast. Einfach an einem Client kontrollieren und ggf. anpassen grizzly999 Zitieren Link zu diesem Kommentar
dwoe 10 Geschrieben 27. Februar 2004 Autor Melden Teilen Geschrieben 27. Februar 2004 Ein paar Fragen noch: zu 1) die Benutzer sollten also nicht lokale Admins auf dem DC sein. Was bedeutet denn: Sicherheitseinstellungen und Gruppe Domaincontroller das Übernehmen der GPO verweigern. Wo und was muss ich da Einstellen und welche Auswirkungen hat es. zu 2) Wie kann ich das kontrollieren? Mit welchem Befehl? Und was muss ich machen um das dann anzupassen? Danke Dirk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.