Jump to content

Wie Gruppenrichtlinien auf Computerebene selektiv anwenden?

MaikHSW

Von MaikHSW
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

MaikHSW Experienced

MaikHSW   13

Geschrieben
Geschrieben

Hey zusammen.

Ich spiele gerade ausführlich mit Gruppenrichtlinien.

Nun bin ich aber an einer Thematik, wo ich nicht weiterkomme.

Wenn ich einer OU mit Systemen das Recht entziehe, Tasks anzulegen und zu löschen, so kann das kein User mehr.

Also auch kein Administrator.

Das ist aber eher hinderlich, da ich den Administratoren nur Richtlinien mit Benutzerkonfiguration zuweisen kann. Sprich ich kann die Computerkonfiguration nicht überschreiben.

Die einzige Lösung, die mir einfällt, wäre eine zweite Richtlinie auf der System-OU welche das Verhalten wieder möglich macht (also User kann Tasks löschen/erstellen) und diese dann nur durch Administratoren lesbar zu machen.

Ist dies die saubere Lösung oder kann man das eleganter lösen?

 

Versteht ihr was ich meine?

 

 

 

Gruß

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.839

Geschrieben
Geschrieben

Wenn ich einer OU mit Systemen das Recht entziehe, Tasks anzulegen und zu löschen, so kann das kein User mehr.

Also auch kein Administrator.

 

Was ist daran verwunderlich? Du hast das Recht doch allen entzogen.

 

Versteht ihr was ich meine?

 

Nö eigentlich nicht. Warum entziehst du erst etwas, und wunderst dich dann? Und wieso sollte ein GPO für Computer für Administratoren lesbar sein? Das wertet der Computer aus, nicht der Admin. Warum entziehst du also nicht einfach nicht, sondern definierst gleich wer darf, und alles ist fein?

 

Bye

Norbert

Link zu diesem Kommentar
MaikHSW Experienced

MaikHSW   13

Geschrieben
  • Autor
Geschrieben

Hey Norbert.

Okay, das werten die Computer aus.

Also habe ich da Pech gehabt.

Aber z.B. die Taskgeschichte kann ich nur in den Computerrichtlinien ändern bzw. einstellen.

Wie kann ich da definieren wer was darf und wer nicht?

Weil z.B. sollten die User evtl. das Recht nicht haben, ein Admin braucht es aber notfalls.

Gibt es da nur schwarz oder weiß?

 

 

Gruß

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.839

Geschrieben
Geschrieben
Hey Norbert.

Okay, das werten die Computer aus.

 

Ja.

 

Also habe ich da Pech gehabt.

 

Wenn du meinst.

 

Aber z.B. die Taskgeschichte kann ich nur in den Computerrichtlinien ändern bzw. einstellen.

 

Ja.

 

Wie kann ich da definieren wer was darf und wer nicht?

 

Hab ich dir geschrieben. Du müßtest meine Antwort nur komplett lesen.

 

Weil z.B. sollten die User evtl. das Recht nicht haben, ein Admin braucht es aber notfalls.

 

Ja, und?

 

Gibt es da nur schwarz oder weiß?

 

Nein, es gibt Verstehen und "kein Plan". ;)

 

Bye

Norbert

Link zu diesem Kommentar
MaikHSW Experienced

MaikHSW   13

Geschrieben
  • Autor
Geschrieben

Hey zusammen.

Ich versuche es nochmal, da es mir nach wie vor nicht schlüssig ist.

@ NorbertFE

Ich mache dies in einer Testumgebung, daher spiele ich damit noch.

Sauber differenzieren und klären, wer was dürfen soll und was nicht ist klar.

Allerdings will ich z.B. dass User A keine Tasks anlegen darf. Dies kann ich lediglich über eine Computerrichtlinie steuern, nicht über Userbezogene.

Allerdings soll natürlich ein Admin an dem PC einen Task anlegen dürfen.

Sonst könnte das ja nie wieder jemand tun.

Wie kann man das beispielsweise realisieren?

Und daher komme ich mit deiner Antwort noch nicht so recht klar.

@ lefg

Das es nicht zwingend mit Benutzergruppen zu tun hat weiß ich,

aber danke nochmal für den Hinweis.

 

@ all

Kann nun jemand mir das mal vollständig und sachlich erklären?

Oder zumindest meine Lücke so weit füllen dass ich die Lösung finden kann?

Das wäre doch mal was...

 

 

Gruß

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
.....Kann nun jemand mir das mal vollständig und sachlich erklären?....
Sachlich schon; vollständig nicht, das übersteigt vom Umfang und der Konplexität ganz einfach die Möglichkeiten eines Forum, dafür gibt es Literatur, Gruppenrichtlinien.de, einen Webcast hier am Board.

 

Grundsätzlich werden Gruppenrichtlinien im Zusammenhang mit Organsationseinheiten angewand, für besondere Fälle gibt es den Loopback-Verarbeitungsmodus, weiter kann eine Filterung der Berechtigten angewandt werden mittels ACL.

 

Eine Differenzierung auf einzelne User? Das kann man natürlich machen, bei 10 Usern oder so, wo soll das aber bei mehr hinführen?

 

Als Admin habe ich anderes zu tun als einzelne User in ein sehr enges Korsett zu schnüren. Als Admin setzte ich die Richtlinien des Unternehmens, der Abteilung, des Fachbereiches um in einem vertretbaren Rahmen. Ob ein User Tasks anlegen kann oder nicht, das ist mir völlig egal, warum sollte er das nicht sollen oder dürfen?

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Ich mache dies in einer Testumgebung, daher spiele ich damit noch.

 

Gut. Hilfreich ist es trotzdem, das immer gleich zu Anfang auch mitzuteilen.

 

Allerdings will ich z.B. dass User A keine Tasks anlegen darf. Dies kann ich lediglich über eine Computerrichtlinie steuern, nicht über Userbezogene.

 

Du kannst aber steuern auf welchen Computern die GPO zieht. Wenn das eine Einstellung aus "Zuweisen von Benutzerrechten" ist, dann kannst Du dort eine Benutzergruppe angeben, die Dinge darf. Zieht natürlich nur auf den Clients, die im Verwaltungsbereich der GPO liegen. Auf Gruppenrichtlinien.de gibts viele HowTos, eines davon ist das hier: http://www.gruppenrichtlinien.de/HowTo/Richtlinien_pro_Benutzer_einrichten.htm Du solltest dir die Seite und die HowTos in Ruhe vornehmen und die Beispiele testen. Eines nach dem anderen. Irgendwann machts dann Klick und Du hast es. ;)

 

Das es nicht zwingend mit Benutzergruppen zu tun hat weiß ich,

aber danke nochmal für den Hinweis.

 

Wie ich schon schrieb, Du kannst Benutzergruppen zum filtern verwenden.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.839

Geschrieben
Geschrieben
@ all

Kann nun jemand mir das mal vollständig und sachlich erklären?

Oder zumindest meine Lücke so weit füllen dass ich die Lösung finden kann?

Das wäre doch mal was...

 

OK, fangen wir doch mal ganz vorn an. Ich vermute (da du es nicht explizit hingeschrieben hast), dass du die beiden Policies meinst die da lauten

"Erstellen von neuen Aufgaben nicht zulassen"

"Löschen von Aufgaben nicht zulassen", richtig?

 

Falls ja, dann lies doch mal ganz genau, was im Explain der jeweiligen Policy steht.

 

Ich geb dir nen Hinweis:

Hinweis: Diese Einstellung wird in den Ordnern "Computerkonfiguration" und "Benutzerkonfiguration" angezeigt. Falls beide Einstellungen konfiguriert sind, haben die Einstellungen unter "Computerkonfiguration" Vorrang vor den Einstellungen unter "Benutzerkonfiguration".

 

Wirds jetzt klarer? Falls ja, super, falls nein mußt du dich halt klarer formulieren. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...