Jump to content
Sign in to follow this  
Christoph_A4

Lokale Gruppenrichtlinien auf Domänencontroller

Recommended Posts

Hi,

 

 

Folgende Aussage habe ich aus einem Buch:

"Wenn Sie die Richtlinien eines Mitgleidsservers mithilfe des Tools 'Lokale Sicherheitsrichtlinie' bearbeiten, stehen nur die Bereiche 'Kontorichtlinien, lokale Richtlinien, Richtl. d. öffentl. schlüssel, Richtlinien für Softwareeinschränkung und IP-Sicherheitsrichtlinien' zur Verfügung."

 

Klar, die Sicherheitsrichtlinie der Default Domain Policy und der Default Domain Controller Policy enthält noch das Ereignisprotokoll, eingeschränkte Gruppen, Dateisystem, Systemdienste.

 

Jetzt aber meine Feststellung:

Wenn ich die lokale Gruppenrichtlinie des Domänencontrollers öffne, steht mir AUCH nur die EINGESCHRÄNKTE Variante (ohne Dateisystem, Systemdienste, usw.) zur Verfügung. Laut Zitat soll diese einschränkung jedoch nur für Mitgleidsservern gelten.

Habe ich meine VMWARE verhunzt, oder sieht es bei euch auf dem Domänencontroller genauso aus?

 

 

 

Gruß

Share this post


Link to post
Share on other sites
...sieht es bei euch auf dem Domänencontroller genauso aus?

Sieht hier genauso aus und ist m.E. auch logisch, da 'lokal' auch auf dem DC nur für den lokalen Conputer gilt. Warum MS sich da so auf Mitgliedsserver einschränkt, ist mir unklar. Vielleicht weil es auf dem DC in der Verwaltung den Eintrag 'Lokale Sicherheitsrichtlinie' in der Verwaltung gar nicht gibt?

Share this post


Link to post
Share on other sites

Hallo

 

Tatsächlich kann mit dem gpedit.msc eine lokale Richtlinie für den DC gemacht werden. (Ob es sinnvoll ist steht woanders). Die Default Domain Controller Policy sollte jedoch ganz "normal" aussehen (mit dem dsa.msc oder gpmc.msc bearbeitet werden) und diese sollte man eigentlich auch nicht verbiegen sondern eine neue mit den individuellen Einstellungen kreieren.

 

Gruss

Matthias

Share this post


Link to post
Share on other sites

Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ...

Share this post


Link to post
Share on other sites
Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ...

 

 

Auch das kann in der Default Domain Controller GPO geregelt werden. Wir möchten bei 24 Domaincontroller auf jedem dieselbe Permission gesetzt haben ;)

Share this post


Link to post
Share on other sites
Es gibt ja einige Einstellungen auf einem DC, die per Default lokal festgelegt werden und diese Einstellungen sind ja auch sinnvoll (z.B. Anmelden über Terminaldienste zulassen) ...

 

Wie machst du das denn "lokal"? Sicher nicht mit gpedit.msc, oder? ;)

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Na sicher (oder secpol.msc), dann gilt es auch nur für den bearbeiteten DC und nicht für alle (vorausgesetzt es gibt keine Richtlinie auf höherer Ebene, die das wieder überschreibt, was im oben genannten Beispiel in der Regel nicht so ist) ... Oder habe ich Dich da falsch verstanden ? :D

Share this post


Link to post
Share on other sites

... Bestes beispiel ist unser timeservice:

- Die ganze Domain soll bei den Dcs die Zeit holen (domain default gpo). Windows Time Server: md5s, server1.domain.com;server2.domain.com;... 0x1

 

Die Dcs sollen die Zeit bei den Root FsMO1.domain.com, fsmo2.domain.com,0x1 holen --> Default Domain controller GPO (zusätzliche Default domain controller GPO enforced)

 

Die Root FSMO's haben in Ihrer Default Domain Controller GPO den swisstime.ethz.ch als timeserver drin.

 

Gruss

MAtthias

Share this post


Link to post
Share on other sites

Wir haben einen Kunden, der 2 DCs hat. Dieser Kunde hat einen der DCs zum Terminalserver gemacht (ich weiss, dass man das nicht machen soll). Auf diesem DC ist das Benutzerrecht "Anmelden über Terminaldienste zulassen" via lokaler Richtlinie verändert worden, so dass sich die Benutzer via Remotedesktop nur an dem einen DC und nicht an beiden anmelden können ...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...