Zum Inhalt wechseln


Foto

Lokale Gruppenrichtlinie nicht für Administratoren


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 22. November 2003 - 19:22

Immer wieder wird gefragt, wie man auf lokalen Rechnern einer Arbeitsgruppe, also ohne Domäne, lokale Gruppenrichtlinien einrichten kann, die dann aber nicht für die Mitglieder der lokalen Administratorengruppe gelten.
Microsoft bietet dafür folgende Lösung an: http://tinyurl.com/w4i5
bzw. in Langform http://support.micro...uct=WWin2000Ger

Eine weitere Möglichkeit besteht darin, mit dem guten alten, aus Win 9x und NT 4.0 bekannten, Poledit die Richtlinien zu bearbeiten. Es geht aber nicht der poledit von NT 4.0 oder Win9x, aber der aus dem Office XP Resource Kit, zu beziehen und Anleitung hier:
http://www.microsoft...pndx/appa18.htm
Diese Methode hat gegenüber der von Microsft genannten den Vorteil, dass man auch andere Benutzer oder Gruppen von den Richtlinien ausnehmen kann.

grizzly999

Schlüsselwörter:
lokal lokale Gruppenrichtlinie Gruppenrichtlinien Administrator Administratoren Ausnahme Arbeitsgruppe Workstation nicht gelten
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#2 Moldy

Moldy

    Newbie

  • 1 Beiträge

 

Geschrieben 07. April 2004 - 11:40

Hi

Eine weitere Möglichkeit besteht darin, mit dem guten alten, aus Win 9x und NT 4.0 bekannten, Poledit die Richtlinien zu bearbeiten. Es geht aber nicht der poledit von NT 4.0 oder Win9x, aber der aus dem Office XP Resource Kit, zu beziehen und Anleitung hier:


Dazu habe ich folgende Frage: Wie kann ich mit dem Ding (dem Poledit aus dem Office XP Ressource Kit) unter W2K die Richtlinien bearbeiten ? Ich krieg es damit bisher nicht hin, die richtigen ADM-Files zu laden. Wie komme ich an ADM-Files, die mit dem Poledit kompatibel sind und mir erlauben, die Einstellungen analog zu den GPOs zu machen ?

Wäre cool, wenn mir da jemand helfen könnte.

#3 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 07. April 2004 - 17:08

Die ADM-Dateien müssen dazu absolut NT 4.0-konform sein, also die ganzen #if.... #endif Zeilen oder explain-Einträge gab es in den ADMs von NT 4.0 nicht.


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#4 macabros

macabros

    Senior Member

  • 495 Beiträge

 

Geschrieben 30. Mai 2004 - 12:35

Hi,

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.
Funktioniert wunderbar. Keine Schwierigkeiten.


Gruß

MacabroS
Der Computer kann alles - aber sonst nichts...

#5 JackLevin

JackLevin

    Member

  • 153 Beiträge

 

Geschrieben 31. August 2004 - 12:46

Sag mal funktionieren diese Konfigurationen auch für XP-Rechner?
Denn im Microsoft Text steht ja, dass es nur für Win2kPro und Win2kServer gelten würde???

:suspect:
Viele Grüße
JackLevin

#6 MVG

MVG

    Newbie

  • 16 Beiträge

 

Geschrieben 26. April 2006 - 09:47

Sag mal funktionieren diese Konfigurationen auch für XP-Rechner?
Denn im Microsoft Text steht ja, dass es nur für Win2kPro und Win2kServer gelten würde???

:suspect:

das wäre jetzt auch frage gewesen
nach dieser anleitung habe ich es schon ausprobiert aber wenn ich dann in den richtlinien nachschaue sind diese gesetzt aber sie funktionieren nicht als admin und bentzer
vieleicht habe ich ja etwas falsch gemacht ?

#7 IT-Shrek

IT-Shrek

    Expert Member

  • 1.040 Beiträge

 

Geschrieben 27. April 2006 - 05:28

Hi,

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.
Funktioniert wunderbar. Keine Schwierigkeiten.


Kann man das auch im Domänenumfeld anwenden, dass GPOs umgesetzt werden, lokale Richtlinien aber nicht?

#8 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 27. April 2006 - 05:54

Jedes Domänen-GPO hat eine höhere Priorität als die lokale Richtlinie, wozu sollte man die lokale abschalten wollen ?
Ich bin S-1-5-XXX-500, ich darf das ...

#9 IT-Shrek

IT-Shrek

    Expert Member

  • 1.040 Beiträge

 

Geschrieben 27. April 2006 - 05:59

Weil man keinen Einfluss auf die GPOs hat und diese "nicht konfiguriert sind"

#10 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 27. April 2006 - 06:44

Was meinst Du mit "keinen Einfluss" ? Ich kann lokale Richtlinien mit SECEDIT z.B. beeinflussen, was man in einer Domäne normalerweise nicht macht, da es ja zentral möglich ist ...
Ich denke aber, dass wir irgendwie aneinander vorbei reden ... :)
Ich bin S-1-5-XXX-500, ich darf das ...

#11 IT-Shrek

IT-Shrek

    Expert Member

  • 1.040 Beiträge

 

Geschrieben 27. April 2006 - 07:15

Admin B hat keinen Einfluss auf die GPOs, er soll per lokalen Richtlinien öffentliche PCs absichern, die über die GPO Restriktionen hinaus gehen, also Richtlinien definieren die per GPO nicht definiert sind. Allerdings möchte er dass diese Richtlinien nicht für lokale Administratoren gelten.

Shrek

#12 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 27. April 2006 - 07:38

Hm, ich würde das mit Loopbackverarbeitung machen und nicht über lokale Richtlinien ...
Ich bin S-1-5-XXX-500, ich darf das ...

#13 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 08. Mai 2006 - 06:53

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.



Das gibt sicher fette Rote Meldungen im Eventlog so kann er das Profil nicht sauber verarbeiten.

Grüsse