heinzelrumpel 10 Geschrieben 10. Mai 2005 Melden Teilen Geschrieben 10. Mai 2005 Hallo, habe gerade im MS-Press Buch die Passage über die eingeschränkten Gruppen via GPO gelesen. Verstehe aber die Bedeutung nicht so recht. Es heisst, dass Benutzer, die einer Gruppe hinzugefügt werden, die per GPO als eingeschränkte Gruppe eingestuft ist, bei der nächsten Richtlinienübernahme aus derselben Gruppe wieder rausgeschmissen werden. Dies solllaut MS Sinn für temporäre Mitgliedschaften, z.B Urlaubsvertretung, machen. Was mich aber nur etwas verwirrt ist die Tatsache, dass ja der Admin einen Tag nach dem der Benutzer dieser Gruppe hinzugefügt wurde evtl. andere Teile der GPO-Richtlinie ändert und dies dann ja zum Rauswurf des Users aus der Gruppe führen würde, owohl dies u.U. ja gar nicht beabsichtigt ist. Andersrum kann es aber auch sein, dass der Admin nie etwas an der Richlinie ändert und der temporäre User für immer in der Gruppe bleibt. Wo liegt denn nun genau der Vortreil dieser eingeschränkten Gruppen? Gruß Heinzelrumpel Zitieren Link zu diesem Kommentar
Kolath 10 Geschrieben 10. Mai 2005 Melden Teilen Geschrieben 10. Mai 2005 ... ich nutze die eingeschränkten gruppen um meinen nutzerbetreuern auf den clients lokale adminrechte zu geben. macht sich ganz gut. mehr dazu findest du unter http://www.gruppenrichtlinien.de Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Mai 2005 Melden Teilen Geschrieben 10. Mai 2005 Hallo, http://www.gruppenrichtlinien.de/ Eingeschränkte Gruppen Sie möchten einen Domänen-Benutzer von Hause aus in eine bestimmte Lokale Gruppe der Workstation integrieren? Dann bietet die Funktion der „Eingeschränkten Gruppe“ genau diese Möglichkeit. Mit den Eingeschränkten Gruppen ist es möglich einen Benutzer der Domäne automatisch in die Lokale Gruppe der Hauptbenutzer, oder gar Lokalen Administratoren zu übernehmen, anstelle das die Domänen-Benutzer per Default automatisch auf die lokale Gruppe der Benutzer gemappt wird. Der Vorteil besteht unter anderem darin den Benutzer mit mehr Rechten an seiner Workstation auszustatten, weil es evtl eine 3rd Party Software verlangt, oder der Benutzer einer ihrer Co-Administratoren ist, die sie gerne an den Workstations mit „Vollzugriff“ ausstatten möchten damit sie an allen Bereichen der Workstation im Falle einer Fehlers auch konstruktive Hilfe anbieten können, ohne diesen gleich die Domänen-Administratoren Kennwörter in die Hand zu geben. So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird. Komplizierter Satz, einfaches Beispiel. Ich mache Asterix und Obelix zu Lokalen Administratoren über die Funktion der Eingeschränkten Gruppe. Jetzt passiert folgendes, alle ehemaligen Mitglieder der Lokalen Administratoren werden aus dieser Gruppen entfernt und nur noch Asterix und Obelix sind lokale Admins … in diesem Moment haben wir gerade den Domänen-Administrator zu einem einfachen „Benutzer“ an den Workstations degradiert. Man sollte also darauf achten, daß dir original vorhandenen Einstellungen erhalten bleiben und in der obigen Konfiguration nicht nur Asterix und Obelix hinzugefügt werden, sondern auch Administratoren. Ich hoffe, es hilft weiter. Gruß Edgar Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 10. Mai 2005 Melden Teilen Geschrieben 10. Mai 2005 Wichtig bei den eingeschränkten Gruppen ist die zentrale Kontrolle über ihre Mitglieder. Es ist also möglich, wie bereits erwähnt, Nutzer zu lokalen Administratoren zu machen, ohne dass diese weitere Nutzer ebenfalls zu Administratoren befördern können. Ein lokaler Administrator hat nämlich dieses Recht. Ist er jedoch Mitglied einer eingeschränkten Gruppe "Lokale Administratoren", werden die von ihm beförderten Nutzer bei deren Anmeldung sofort wieder aus dieser Gruppe entfernt, wenn nicht der Domänenadministrator sie zur eingeschränkten Gruppe hinzugefügt hat. Anders gesagt: Die vom Domänenadmin vergebenen lokalen Adminrechte können von den lokalen Admins nicht Unbefugten weitergegeben werden. Zitieren Link zu diesem Kommentar
heinzelrumpel 10 Geschrieben 10. Mai 2005 Autor Melden Teilen Geschrieben 10. Mai 2005 danke für die erklärungen. warum bekommt ms das nicht so hin gruß heinzelrumpel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.