killm0 10 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Hallo, ich habe da folgende Frage: Kann man es hinbekommen das GPO's für Domänen-Administratoren nicht angewand werden? Beispiel: User 1 Domänen-Admin User 2 Benutzer - Beide User sind in der Gruppe "Abteilung 1" - GPO "Geschütze Systemdateien einblenden ist deaktiviert" Kann man es einstellen, dass die GPO nur bei dem Benutzer angewand wird und nicht bei dem Domänen-Administrator, obwohl beide in der Gruppe "Abteilung 1" sind und die GPO greift? Danke Zitieren Link zu diesem Kommentar
groszmann 10 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Hallo, in den Sicherheitseinstellungen der GPO bei Richtlinie anwenden für den Admin Zugriff verweigern aktivieren, gpupdate nicht vergessen, et voilá. Gruss Hans Zitieren Link zu diesem Kommentar
NorbertFe 1.824 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Gibt es eigentlich einen Grund, warum Domänen-Admins innerhalb der normalen OU Struktur (auf die die GPOs wirken) stehen? Dafür gibt es ganz einfach administrative Accounts, die sich eben ausserhalb befinden. Die SIcherheitsfilterung wäre jetzt zwar ein Weg, bleibt jedoch die höchstwahrscheinliche sicherheitstechnische Problematik, dass "User" mit Domadminrechten "rumspringen" ;) Bye Norbert Zitieren Link zu diesem Kommentar
killm0 10 Geschrieben 16. Oktober 2009 Autor Melden Teilen Geschrieben 16. Oktober 2009 (bearbeitet) Alles klar, danke!! bearbeitet 16. Oktober 2009 von killm0 Danke Zitieren Link zu diesem Kommentar
groszmann 10 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Gibt es eigentlich einen Grund, warum Domänen-Admins innerhalb der normalen OU Struktur (auf die die GPOs wirken) stehen?Nein, aber GPOs wirken sich ja auf die Computer und standardmässig alle darauf angemeldeten Benutzer (also auch Domain-Admins) aus. Die SIcherheitsfilterung wäre jetzt zwar ein Weg, bleibt jedoch die höchstwahrscheinliche sicherheitstechnische Problematik, dass "User" mit Domadminrechten "rumspringen" ;)Damit hat man imho dann per se ein Problem. In den von mir betreuten Domänen gibt es keine User mit Domain-Admin Rechten (allenfalls mal LocalAdmin Rechte auf ihrem PC, das ist aber auch das höchste der Gefühle). @killm0 Kommt drauf an, womit Du die GPOs bearbeitest. Im GPMC finde ich die Option gerade auch nicht. In der "Active Directory-Benutzer und -Computer"-Konsole öffnest Du das Eigenschaften-Fenster der betreffenden GPO, klickst unten "Eigenschaften" an, gehst in dem folgenden Fenster auf den Reiter "Sicherheit" und verweigerst dort für den Admin oder die Admingruppe den Zugriff auf die Berechtigung "Gruppenrichtlinie übernehmen". Gruss Hans Zitieren Link zu diesem Kommentar
NorbertFe 1.824 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Nein, aber GPOs wirken sich ja auf die Computer und standardmässig alle darauf angemeldeten Benutzer (also auch Domain-Admins) aus. Es gibt auch wenige Gründe, warum sich ein Domänenadmin an allen Computern anmelden muß. ;) @killm0Kommt drauf an, womit Du die GPOs bearbeitest. Im GPMC finde ich die Option gerade auch nicht. Da findet man die nur, wenn man das GPO zum Editieren geöffnet hat. Bye Norbert Zitieren Link zu diesem Kommentar
groszmann 10 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Es gibt auch wenige Gründe, warum sich ein Domänenadmin an allen Computern anmelden muß. ;)Z.B. um sie zu administrieren? Oder mit welchem Account erledigst Du Verwaltungsarbeiten z.B. auf Terminalservern? Gruss Hans Zitieren Link zu diesem Kommentar
NorbertFe 1.824 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 Nicht mit dem Domadmin. Der ist wie der Name sagt zum Administrieren der Domäne (des AD) und nicht zur Administration von PCs ode Terminalservern. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.