Jump to content
Sign in to follow this  
wuuhooo

Suche eine GPO

Recommended Posts

Hallo!

Ich befinde mich momentan auf einen Lehrgang mit anschließender Prüfung dabei handelt es sich aber zum keine MS Prüfung oder so sondern eine Praktische.

Folgende Situation wie kann man Globale Gruppen Automatsich auf Client PCs in die Lokale Client Gruppe der Administratoren stecken? So das man nicht erst an den Client gehen muss um sich mit dem DomainUser selber in die Gruppe der Lokalen Admins zu schicken damit man nur volle Rechte an dem Rechner hat.

Ich denke das Problem oder was ich damit ereichen will ist bekannt leider wusste ich nicht unzter welchen Stichwort man da suchen muss und ich habe alle GPO einstellungen angesschaut aber keine passende gefunden wer kann helfen um das problem zu lösen?

 

gruß

wuuhooo

Share this post


Link to post

Mir ist keine solche Gruppenrichtlinie bekannt, ich sehe aber auch keinen Sinn darin.

Die User sollen im Normalfall ja auch nicht alle Rechte am Client haben, wozu auch? Von ein paar Einzelfällen abgesehen ist das nicht nur unnötig sondern auch gefährlich.

Share this post


Link to post

Ich selbst habe das so noch nicht machen müssen, wir schränken die Benutzer ein, erweitern nicht die Möglichkeiten.

 

Im Ernstfall würde ich mich wohl mal mit der Richtlinie Eingeschränkte Gruppen befassen, danach mit den DS-Befehlen, z.B. dsmod.

 

Der Wunsch, Domänenbenutzern die Rechte von loaklen Administratoren zu gewähren, liegt vielfach in Anwendungen, die für Einzelplatzrechner mit dem Hauptbenutzer erstellt worden sind. In der Domäne streiken diese dann. Das kann entweder an fehlenden Berechtigungen auf Verzeichnisse oder auf Registrykeys liegen. Nach meiner Erinnerung gibt es da dann eine Möglichkeit über Eingeschränkte Gruppen; Grizzly999 hat darüber etwas verfasst, sollte mit der Suche hier am Board auffindbar sein.

 

Eine andere Möglichkeit sollte es per Skript mit dsmod geben.

 

Weiter kann man die Ursache herausfinden mit einem geeigneten Tracker, die Berechtigungen auf Verzeichnisse und Keys anpassen.

Share this post


Link to post

Es sollen bestimmt nicht alle Benutzer lokale Administratoren werden.

Und für Supportmitarbeiter die keine Domänenadminrechte bekommen sollen, ist es doch nen gute Lösung oder?

Share this post


Link to post

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen

- Dann die Globale Gruppe mit der Lokalen Gruppe (Administratoren) verknüpfen

Share this post


Link to post

Hallo!

Sorry das ich erst jetzt schreibe!

Also der hintergrund ist folgender wenn ich einem normalen benutzer ein msi paket zuweise auf benutzereinstellungen weil nur er an allen rechnern das paket haben soll dann wird das paket wenn er sich normal anmeldet am rechner nicht installiert liegt aber auf dem rechner unter software da und wenn man den button hinzufügen klickt fehlen dem benutzer die rechte zum installieren-->soweit ja logisch! füge ich dann als admin das AD User Konto zur Lokalen Adminigruppe hinzug kann das paket ohne probleme installoiert werden aber ich will damit dieses funktioniert nicht jedenmal als admin zu jeder kiste hinrennen müssen und den user in die gruppe der lokalen admins aufnehmen damit er das msi paket installiert bekommt.

Deswegen will ich mit einer GPO sagen können das auf folgenden rechner in der OU die Gruppe oder der User X.Y.Z mitglied der lokalen Admin Gruppe ist.

Ich hatte mal in einer Firma aber nur im Helpdesk gearbeitet da hazttn wir vom helpdesk auch eine gruppe die war auf allen recner in der firma bei den lokalen admins eingetragen ich weis bloss nicht ob dieses im image verankert wurde oder eben durch eine GPO die das veranlasst?!

 

kann mir jetzt jemand helfen?

Share this post


Link to post

Ich empfehle, den Text mittels Satzzeichen, Groß-, Kleinschreibung verständlich zu strukturieren!

Share this post


Link to post
Ich empfehle, den Text mittels Satzzeichen, Groß-, Kleinschreibung verständlich zu strukturieren!

FULL ACK!

Diese Bandwurmsätze sind echt ein Greuel. Da bekommt man eher Brechreiz als den Wunsch zu helfen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...