Nummernschild-B

Richtig, offline nur durch Anmeldung mit Admin-Rechten über die der externe Mitarbeiter aber nicht verfügt.

@NorbertFe: Danke, dann ist die Frage ja beantwortet, nur konnte ich oben mit >Ja, nein< nicht soviel anfangen, bzw. habe es wohl nicht richtig interpretiert. @testperson: Ja, Punkt 1 ist richtig, die Richtlinie soll einmal angewandt werden und dann bis auf Widerruf auch offline dauerhaft gültig sein. @NilsK: Das ist richtig, meine Kenntnisse von Gruppenrichtlinen bewegen sich derzeit noch auf unterstem Niveau, wobei ich die beabsichtigten Einstellungen schon gut konfigurieren konnte und die damit versorgten Rechner auch so funktonieren wie gewünscht. Nur bei der Frage, ob die Einstellungen auch bei offline genutzen Domänenrechnern dauerhaft wirksam bleiben, war ich mir unsicher. Danke auch für die Links - das klärt auch Fragen, welche ich noch nicht gestellt habe. Der Ordnung halber noch für mich mal zusammengefasst: Die durch eine Domäne verteilte GPO wird während der Verteilung dauerhaft auf dem Clientrechner gespeichert. Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt. Die Frage ist hiermit beantwortet und das Thema kann geschlossen werden.

Ja, das habe ich natürlich schon versucht, aber da die Einstellungen in den GPOs identisch sind, ist auch das Ergebnis gleich. Klar könnte ich eine der GPOs ändern, selbst weiter forschen und dann davon ausgehen, dass es irgendwie läuft. Eine Abfrage zur Anwendung der GPO mit gpresult/r klappt nicht, da die Nutzung, bzw. Nichtnutzung von cmd/powershell einen Teil der Restriktionen darstellt. Insofern war/ist es auch umständlich, bzw. mehrmaligem An- und Abmelden verbunden, eine lokale GPO wie gewünscht anzupassen. Da dachte ich, das ich mit der Frage die Sache etwas beschleunigen könnte und vielleicht noch die ein- oder andere Hintergrundinfo erhielte, warum es so oder so funktioniert. Stichwort "best practice, etc." Trotzdem danke für die Antwort, dann werde ich mal weiter testen... Sollte ich zu einem verwertbaren Ergebnis kommen, werde ich es mitteilen. Grüße Clemens

Hallo, hier eine vielleicht etwas naive Frage zur Wirksamkeit einer GPO, welche in einer Domäne verteilt wurde - die vorherige Suche hat mich hierzu nicht viel schlauer gemacht. Oder ich habe falsch gesucht. Für einen neuen externen Mitarbeiter wurde im Büro ein Laptop eingerichtet, welches über die Domäne eine, für diese Nutzergruppe gedachte GPO empfangen hat. In der Domäne funktionieren alle Einstellungen perfekt, doch wie sieht es aus, wenn die Anmeldung am Laptop extern erfolgt, entweder über VPN (hier Anmeldung vor Tunnelaufbau), oder gänzlich ohne Verbindung zur Firma (privat, etc.). Sind dann die Einstellungen der Domänen-GOP auch noch wirksam, oder wird dann die lokale GPO angewandt? Momentan gehe ich von letzterem aus und habe die entsprechenden Resitriktionen auch noch einmal in einer GPO für Nicht-Admins angelegt. Aber vielleicht muss man sich diese Arbeit nicht machen und es funktioniert wie gewünscht? Danke für etwaige Antworten Clemens

Hallo, das dachte ich mir schon. Unsere Daten sind ohnehin mit Berechtigungen versehen, das sollte schon dann schon passen. Dann werde ich noch einen spezielles Praktikantenverzeichnis anlegen und nur auf das gibt es Zugriff, die Einstellung des Rechners wird dann eben wie bisher auch gehandhabt. Habe den Beitrag als gelöst markiert. Danke Clemens

Guten Morgen, erst mal danke für die Antworten. Wahrscheinlich konnte ich das Problem nicht klar rüber bringen, deshalb noch mal: In den kommenden Tagen arbeitet bei uns ein Student zur Probe. Das Arbeitsgerät ist ein normaler Arbeitsplatzrechner mit vollem Anschluss an das Firmennetzwerk, einen anderen haben wir nicht zur Verfügung. Da wir den Herrn nicht kennen, wissen wir auch nicht, inwiewiet er sich mit IT auskennt. Es könnte ja möglich sein, dass er darin recht fit ist, und neben der eigentlichen Aufgabe im Internet surft, ein bisschen im Firmennetzt stöbert, die Eingabeaufforderung testet, ein paar CMDLETS absetzt, u.s.w. - Möglichkeiten gibt es viele. Natürlich soll man niemanden von vornherein Böses zutrauen, aber sicher ist sicher. Wäre ungünstig, wenn man im Nachhinein feststellen muss, dass ein paar Daten fehlen, oder gar welche hinzugekommen sind. Daher soll er bei Einwahl mit dem Praktikanten-Profil einen Rechner vorfinden, der außer der Erledigung der eigentlichen Arbeit keine weiteren Funktionen zulässt, auf dem sich also auch keine Verknüpfungen anlegen, Eingaben oder sonstige Veränderungen tätigen lassen. Wenn auf dem Desktop des Praktikanten z.B. eine neue Verknüpfungen angelegt werden muss, dann nur mit höheren Rechten. Dabei ist die Verknüfung auf dem Desktop nur als Beispiel zu verstehen um deutlich zu machen, worum es mir geht. Nämlich darum, ein stark eingeschränktes Nutzerprofil auch vom Erscheinungsbild her direkt auf dem Zielrechner so einzurichten, wie es der Nutzer vorfinden soll. Also quasi per Befehl und ohne neue Anmeldung alle Sperren lösen und dann z.B. optisch oder anderweitig anpassen. So als hätte das eingeschränkte Nutzerprofil dann Admin-Rechte, ohne Admin zu sein. Nach Abschluss der Einrichtungen würden die Rechte mit einem Klick entzogen und der beispielhafte Desktop mit der nun neuen Verknüpfung wieder festgefroren. Natürlich wird diese Einrichtung von einem Mitarbeiter vorgenommen und nicht von dem Nutzer (im konkreten Beispiel der Praktikant) der an dem Rechner arbeiten soll. Meines Erachtes funktioniert das mit den herkömmlichen Werkzeugen so nicht, dazu bräuchte es eine Funktion die ungefähr so lauten müsste: "Nutzerprofil direkt mit höheren Rechten bearbeiten". Nach Eingabe der entsprechenden Anmeldedaten eines höherwertigen Profils (z.B. Admin) würden dessen Rechte übernommen, die Anmeldesitzung bliebe aber die gleiche. Diese Funktion müsste auch ein automatisches gpupdate /force beinhalten, um die GPO-Einschränkungen vorübergehend aufzuheben. Den dankenswert zahlreichen Antworten entnehme ich aber, dass es eine solche Funktion nicht gibt und damit ist meine Frage im Prinzip auch beantwortet und ich brauche nicht mehr weiter danach zu suchen. Danke und Grüße Clemens

Hallo Nils, danke für die Antwort, dachte ich mir schon, dass ich es etwas unpräzise beschrieben habe. Daher noch ein Versuch. Wenn ich mich als Nutzer (Praktikant im konkreten Beispiel) an einem Domänenrechner anmelde, sehe ich dort ordnungsgemäß nur die Oberfläche / die Einstellungen, die per AD/GPO für dieses Benutzerprofil vorgesehen sind. Nun soll z.B. eine neue Verkünfung mit einem Netzwerkordner in der rechten oberen Ecke auf dem Desktop platziert werden. (Die entsprechenden NTFS-Berechtigungen sind gesetzt - hat zwar mit der GPO nicht zu tun, ist aber der Ordnung halber erwähnt.) Da ich als angemeldeter Praktikant die Netzwerkstruktur nicht sehen kann und mir auch die entsprechenden Befehle samt CLI/Powershell nicht zur Verfügung stehen, bzw. nicht aufzurufen sind, ist es schwer, die gewünschte Verknüpfung zu erstellen. Ebenso kann ich das Konto nicht zum lokalen Adminstrator machen und mich dann neu anmelden, da die Rechte gemäß Einstellung dafür fehlen. Gleich als Admin anmelden nützt auch wenig, denn dann sehe ich den Desktop und das Profil des Admin und nicht das des Praktikanten, um welches es ja geht. Also wäre es gut, ein Benutzerprofil während einer Anmeldesitzung mit höheren Rechten versehen zu können, so wie es beim Ausführen von Dateien ->als Administrator möglich ist. Oder auch wie bei der Installation von Programmen, wofür man sich per Eingabemaske als Domänen-Admin anmelden kann/muss. Um beim Beispiel der Desktopsymbole zu bleiben, wäre es mit meinem Kenntisstand derzeit nur möglich, diese in der GPO festzulegen und per gpupdate /force schnell zuzuweisen, wobei das allerdings auch nicht klappt, da das Praktikantenprofil keine Konsolenbefehle ausführen kann. Oder den Praktikanten im AD zum Admin machen, neu anmelden, die Änderungen vornehmen, den Praktikanten im AD wieder herunterstufen, neu anmelden. Ist das korrekt, oder gibt es eine elegantere Möglichkeit? Wie schon versucht mitzuteilen, es geht nicht darum, das Ziel zu erreichen, sondern nur um den besten Weg dahin. Meiner Meinung nach fehlt in Windows die Funktion, sich mit höheren Rechten an einem reglementierten Benutzerprofil anmelden zu können. Ich hoffe das war jetzt etwas verständlicher. Grüße Clemens

Hallo, hier eine Frage, zu welcher ich bei der bisherigen Internetrecherche keine rechte Lösung gefunden habe. Vielleicht habe ich auch nicht richtig gesucht, wäre auch möglich. Folgendes Problem - Windows-Domäne, Server 2016, Client Win10: Bei der Einrichtung eines Domänen-Rechners für Praktikanten werden ja diverse Einstellungen im AD / GPO für das jeweilige Benutzerprofil und den PC vorgenommen. Das Ergebnis ist ein Rechner, auf dem sich zwar die vorgesehenen Arbeiten ausführen lassen, der darüber hinaus aber keine weiteren Einstellungen, oder gar Netzwerkzugriffe, zulässt. Soweit die Theorie. In der Praxis gestaltet sich die Sache aus meiner Sicht etwas komplizierter, denn schon bei der Einrichtung der Benutzeroberfläche als eingewählter Praktikant scheitere ich daran, einen Netzwerkordner auf dem Desktop zu verlinken, denn es fehlen dafür ja logischer Weise jegliche Rechte. Und ich möchte den Rechner natürlich gern so einrichten, wie der spätere Nutzer später daran arbeiten soll, also alle Links auf dem Desktop auch an die richtige Stelle schieben, etc.. Eine Anmeldung als Admin ist dabei nicht zielführend, denn das Admin-Konto / der Admin-Desktop sollen ja nicht bearbeitet werden. Natürlich könnte ich während der Einrichtung das Praktikanten-Profil im AD temporär in die Admin-Gruppe schieben, doch scheint mir das eine Lösung der 2. Wahl zu sein. Daher die Frage: Ist es möglich, sich als Praktikant mit Admin-Rechten anzumelden, bzw. kurzfristig Admin-Reche zu erlangen? Damit meine ich nicht das Ausführen von Dateien mit Admin-Rechten - dass funktioniert auch so, sondern das erste und auch nachträgliche Einrichten der Benutzeroberfläche mit Desktopsymbolen, Netzwerkordnern, usw., indem man direkt vor dem Rechner sitzt. Vermutlich kenne ich mich Gruppenrichtlinien noch nicht so detailliert aus und es lässt sich alles darüber regeln, doch vielleicht gibt es noch andere Tipps. Ich hoffe das einigermaßen verständlich beschrieben zu haben. Für etwaige Antworten vielen Dank. Clemens