GPO > Administratoren

[marczandboer 10]

Hallo an Alle,

 

wir haben eine OU für alle Rechner, auf dieser OU haben wir GPO's festgelegt. Nun ist es so, dass dort die Nutzung von Regedit untersagt wird. Diese Policy greift also für alle Nutzer bis auf Domänen-Admins, System. Nun müssen wir den lokalen Administratoren die Möglichkeit einräumen, alle Fähigkeiten von Windows und deren Tools zu nutzen!

 

Wie stelle ich die GPO ein, dass die lokalen Administratoren Zugriff auf die Registry erhalten und trotzdem die Policy aktiv bleibt?

 

Viele Grüße und schon vorab vielen Dank

[NilsK 2.803]

Moin,

 

die beschriebene Einstellung wirkt nur auf Benutzerobjekte in AD. Da die lokalen Admins keine AD-User sind, gilt diese Einstellung nicht für diese User. In dem Fall musst du also gar nichts tun.

 

Solltest du mit "loake Administratoren" hingegen AD-User oder -Gruppen meinen, die Mitglied der jeweiligen lokalen Gruppe "Administratoren" sind, könntest du die Berechtigungseinstellungen des GPO-Objekts bearbeiten, sodass die betreffenden AD-User/-Gruppen die Richtlinie nicht anwenden dürfen.

 

Gruß, Nils

[marczandboer 10]

Hallo Nils!

 

Ach, hab ich total vergessen,

es handelt sich hierbei um Computerrichtlinien, die also auf Computer angewandt werden, also hab ich das Problem, dass diese Richtlinie auch auf lokale Benutzer greift. Und ich kann die Berechtigungen der GPO nicht für lokale Benutzerkonten verändern.

[NilsK 2.803]

Moin,

 

es handelt sich hierbei um Computerrichtlinien, die also auf Computer angewandt werden

 

welche Richtlinie soll da genau gesetzt sein? Zum Verweigern der Registry-Tools kenne ich nur eine im Benutzerzweig.

 

Und ich kann die Berechtigungen der GPO nicht für lokale Benutzerkonten verändern.

 

Nein, das geht bei Computerrichtlinien allgemein nicht, sie werden ja auf Computerebene angewandt.

 

Aber lass uns erst mal klären, was du bisher machst und wie deine eigentliche Anforderung aussieht. Ich habe den Verdacht, dass wir über das Problem deiner Lösung sprechen und nicht über dein eigentliches Problem - das ließe sich ja ändern.

 

Gruß, Nils

[marczandboer 10]

Hallo Nils,

 

vielen Dank für Deine Antwort.

 

Also, wir haben die Nutzung der Registry durch die Computerkonfiguration/Windows Einstellungen / Sicherheitseinstellungen / Dateisystemrichtlinie unterbunden, bzw. nur für die Domänen-admins freigegeben. Diese Konfiguration darf aber nicht für die lokalen Admins greifen!

 

Viele Grüße

[NilsK 2.803]

Moin,

 

äh - was habt ihr gemacht? Was hat eine Dateisystemrichtlinie mit der Registry zu tun? Beschreib das bitte ausführlich, sonst wird das hier nichts.

 

How to ask a question

 

Gruß, Nils

[marczandboer 10]

Zu meiner Schande muss ich gestehen, dass ich mir noch nicht wirklich große Gedanken darum gemacht habe, da die Baustellen hier sehr sehr groß sind und so viele Sachen zu verändern sind. Diese Sache wurde durch einen meiner Vorgänger dort eingestellt.

 

Ich versuche es mal nachzuvollziehen.

 

Aus meiner persönlichen Warte heraus würde ich sagen, man wollte den Nutzern das Recht nehmen, Regedit zu starten. Ich weiss das man dieses auch anders machen kann, aber wie ich bereits sagte, ich habe mir noch nicht wirklich große Gedanken darum gemacht, geschweige denn, die Sinnhaftigkeit der Einstellung in der Dateisystem-Einstellung. Ich dachte, da es funktioniert, dass es mehrere Wege dafür gibt, scheint ja auch so! :confused:

 

Gut, ich werde das Ganze einfach nochmal in Ruhe überarbeiten.

 

Danke für Deinen Schubs in die richtige Richtung.

[Steven2007 10]

Hallo marczandboer,

 

was du suchst ist:

 

Benutzerkonfiguration - adm. Vorlagen - System - "Zugriff auf Programme zum Beabeiten der Registrierung verhindern" und/oder "Angegebene Windows Anwendungen nicht ausführen"

 

Gruß