Gadget 37 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Hihi, is ne logische Folge ein schlechten Gruppenbeschreibung durch MSFT ü. dem man leicht drüberfällt ;) Authentifizierte Benutzer = Benutzer u. Computer :D http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#WellknownSID Authentifizierte Benutzer(S-1-5-11) Beinhaltet alle Benutzer und Comuter, deren Identität authentifiziert (beglaubigt) wurde. Der GAST gehört nicht zu den Authentifizierten Benutzern auch wenn der Gast-Account über ein Passwort verfügt. LG Gadget Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Genau da liegt auch meiner Meinung nach der Fehler ... :D Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 hm ich war immer der meinung, dass die richtlinie greift, weil in der ou der ts liegt Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 also - was genau sollte nun in die richtliniensicherheitsfilterung eingetragen werden? nur der terminalserver oder terminalserver (also computerkonto) + entsprechende user-gruppe? (ohne die gruppe authentifizierte user) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Nein, er hat keine Berechtigungen, das GPO zu lesen oder auszuführen, wenn Du die Authentifizierten Benutzer entfernst und das Konto nicht zufügst. Also wird der Computerteil nicht bearbeitet, also auch nicht die Loopbackverarbeitung und deswegen auch nicht die Einschränkungen der User ... edit: Füge das Computerkonto des Terminalservers zu und lass den Rest so wie er ist (vielleicht den Admins noch Gruppenrichtlinie übernehmen verweigern, damit sie nicht eingeschränkt werden) Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 hm ich war immer der meinung, dass die richtlinie greift, weil in der ou der ts liegt Schon richtig, aber das Computerkonto hat keinen Lesezugriff auf die Policy. Deswegen wie ITHome schon sagte den TS zur ACL der Gruppenrichtlinie hinzufügen: Berechtigung Lesen u. Gruppenrichtlinie übernehmen. EDIT: @ITHome sry, du bist heute einfach schneller überlasse dir den Thread :rolleyes: LG Gadget Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 also (sorry - etwas verwirrend das ganze): usergruppe + computerkonto des terminalservers in die sicherheitsfilterung eintragen gruppe der authentifzierten user kann ich entfernen korrekt? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Ist doch egal wer antwortet :) edit: das ist korrekt Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 es geeeeeeeeeeeeeeeeeeeeeeeeht der ******dreckt das geeeeeeeeeeeeeeeeeeeeeht soniiiiiiiiiiiiiiiiiiiiiiiiiiiiii :) vielen dank euch auch wenn dies wieder zu dem kapitel "aufschreiben - weil in zig wochen wieder vergessen" gehört... Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 @Blueangel: Kleine Best-Practice-Regel noch dazu keine Domänenlokale Gruppe dafür verwenden: Group Policy Should Not Be Filtered By Domain Local Groups http://support.microsoft.com/kb/309172/en-us Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 keine domänenlokale gruppe??? wat??? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Diese sollst du nicht zur Sicherheitsfilterung von Gruppenrichtlinien verwenden. Die Gründe dafür sind genauer im KB genannt, würde aber in deinem Fall wahrscheinlich keine Probleme bereiten da ja es ja um ne Loopback-Richtlinie geht. Aber ich wollts nur gesagt haben, is mir gerade noch eingefallen. => Best practice Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 :) ich kannte nur den begriff "domänenlokale" gruppe nicht - dank dir für den tipp - werd mal nachlesen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.