Jump to content

Lokale Gruppenrichtlinien auf Domänencontroller


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

 

Folgende Aussage habe ich aus einem Buch:

"Wenn Sie die Richtlinien eines Mitgleidsservers mithilfe des Tools 'Lokale Sicherheitsrichtlinie' bearbeiten, stehen nur die Bereiche 'Kontorichtlinien, lokale Richtlinien, Richtl. d. öffentl. schlüssel, Richtlinien für Softwareeinschränkung und IP-Sicherheitsrichtlinien' zur Verfügung."

 

Klar, die Sicherheitsrichtlinie der Default Domain Policy und der Default Domain Controller Policy enthält noch das Ereignisprotokoll, eingeschränkte Gruppen, Dateisystem, Systemdienste.

 

Jetzt aber meine Feststellung:

Wenn ich die lokale Gruppenrichtlinie des Domänencontrollers öffne, steht mir AUCH nur die EINGESCHRÄNKTE Variante (ohne Dateisystem, Systemdienste, usw.) zur Verfügung. Laut Zitat soll diese einschränkung jedoch nur für Mitgleidsservern gelten.

Habe ich meine VMWARE verhunzt, oder sieht es bei euch auf dem Domänencontroller genauso aus?

 

 

 

Gruß

Link zu diesem Kommentar
...sieht es bei euch auf dem Domänencontroller genauso aus?

Sieht hier genauso aus und ist m.E. auch logisch, da 'lokal' auch auf dem DC nur für den lokalen Conputer gilt. Warum MS sich da so auf Mitgliedsserver einschränkt, ist mir unklar. Vielleicht weil es auf dem DC in der Verwaltung den Eintrag 'Lokale Sicherheitsrichtlinie' in der Verwaltung gar nicht gibt?

Link zu diesem Kommentar

Hallo

 

Tatsächlich kann mit dem gpedit.msc eine lokale Richtlinie für den DC gemacht werden. (Ob es sinnvoll ist steht woanders). Die Default Domain Controller Policy sollte jedoch ganz "normal" aussehen (mit dem dsa.msc oder gpmc.msc bearbeitet werden) und diese sollte man eigentlich auch nicht verbiegen sondern eine neue mit den individuellen Einstellungen kreieren.

 

Gruss

Matthias

Link zu diesem Kommentar

... Bestes beispiel ist unser timeservice:

- Die ganze Domain soll bei den Dcs die Zeit holen (domain default gpo). Windows Time Server: md5s, server1.domain.com;server2.domain.com;... 0x1

 

Die Dcs sollen die Zeit bei den Root FsMO1.domain.com, fsmo2.domain.com,0x1 holen --> Default Domain controller GPO (zusätzliche Default domain controller GPO enforced)

 

Die Root FSMO's haben in Ihrer Default Domain Controller GPO den swisstime.ethz.ch als timeserver drin.

 

Gruss

MAtthias

Link zu diesem Kommentar

Wir haben einen Kunden, der 2 DCs hat. Dieser Kunde hat einen der DCs zum Terminalserver gemacht (ich weiss, dass man das nicht machen soll). Auf diesem DC ist das Benutzerrecht "Anmelden über Terminaldienste zulassen" via lokaler Richtlinie verändert worden, so dass sich die Benutzer via Remotedesktop nur an dem einen DC und nicht an beiden anmelden können ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...