Jump to content

GPO Eingeschränkte Gruppen konfiguriert, jetzt kein Zugriff mehr mit Domänen Admin

m1k2k

Von m1k2k
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

m1k2k Rising Star

m1k2k   10

Geschrieben
Geschrieben

Guten Morgen,

 

Etwas sehr ****es ist mir gerade unterlaufen.

 

Wie auf Gruppenrichtlinien.de beschrieben

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

habe ich die lokale Administratoren Gruppe unter "Eingeschränkte Gruppen" in der Default Domain Policy so angepasst dass dort 3 mitglieder Stehen (2 Admins von uns und der Domain Admin), damit wurde wie erwartet die bestehenden lokalen Admins überschrieben. In der Theorie hört sich alles super an, jedoch hab ich jetzt mit dem lokalen Domänen Admin oder den beiden Admin Benutzern auf jedem Computer im Unternehmen keine Lokalen Berechtigungen mehr.

 

Was ist schief gelaufen? Wie kann ich den Zugriff wiederherstellen? Habe bereits versucht die PC´s aus der Domäne zu entfernen und wieder hinzuzufügen, jedoch ohne Erfolg.

 

Vielleicht hatte schon mal jemand das Problem bzw. hat einen guten Tip?!

 

Danke und Gruß

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.837

Geschrieben
Geschrieben

Wer steht denn jetzt in der lokalen Admingruppe? So oder so, wenn du es falsch konfiguriert hast, mußt du das GPO entsprechend so anpassen, dass es wieder funktioniert. Ich geb dir mal nen Tipp. Sowas konfiguriert man auf keinen Fall in der Default Domain Policy, sondern in einer eigenen Policy, die nur für die PCs gilt.

 

Bye

Norbert

 

PS: Das rein oder rausnehmen von PCs, kann gar nicht funktionieren, da du dein GPO ja noch aktiv hast. ;) Und da du ja cleverweise die DDP genutzt hast, kannst du die jetzt auch nicht einfach mal deaktivieren. Nu weißt du, warum man sowas nicht tut. :p

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Auszug aus dem gen. Artikel:

 

Komplizierter Satz, einfaches Beispiel.

 

Ich mache Asterix und Obelix zu Lokalen Administratoren über die Funktion der Eingeschränkten Gruppe. Jetzt passiert folgendes, alle ehemaligen Mitglieder der Lokalen Administratoren werden aus dieser Gruppen entfernt und nur noch Asterix und Obelix sind lokale Admins … in diesem Moment haben wir gerade den Domänen-Administrator zu einem einfachen „Benutzer“ an den Workstations degradiert.

 

Man sollte also darauf achten, daß dir original vorhandenen Einstellungen erhalten bleiben und in der obigen Konfiguration nicht nur Asterix und Obelix hinzugefügt werden, sondern auch Administratoren.

Link zu diesem Kommentar
m1k2k Rising Star

m1k2k   10

Geschrieben
  • Autor
Geschrieben

Hi Sunny,

eben dass ist mir nicht passiert, ich hab alle 3 hinzugefügt, auch den Domänen Admin, hab den nicht vergessen.

 

Aus welchen Gründen auch immer hab ich das Problem bischen lokalisieren können, der Domänen Admin war im AD kein Domänen Admin mehr, er war kein Mitglied der Gruppe mehr.. :-/

 

Vielleicht lag es daran dass ich die DDP angefasst habe :suspect: , war wohl etwas zu leichtsinnig und voreilig :wink2:

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Aus welchen Gründen auch immer hab ich das Problem bischen lokalisieren können, der Domänen Admin war im AD kein Domänen Admin mehr, er war kein Mitglied der Gruppe mehr.. :-/

 

Ist er dort von allein rausgeflogen? ;)

 

Vielleicht lag es daran dass ich die DDP angefasst habe :suspect: , war wohl etwas zu leichtsinnig und voreilig :wink2:

 

In der DDP und der Default Domain Controller Policy werden IMHO nur Passwortrichtlinien und das SMB-Signing eingestellt. Für den Rest erstellt man sich eigene GPOs und OUs: Erste Schritte zum Erstellen einer Gruppenrichtlinie

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.837

Geschrieben
Geschrieben
Hi Sunny,

eben dass ist mir nicht passiert, ich hab alle 3 hinzugefügt, auch den Domänen Admin, hab den nicht vergessen.

 

Was genau hast du wie konfiguriert?

 

Aus welchen Gründen auch immer hab ich das Problem bischen lokalisieren können, der Domänen Admin war im AD kein Domänen Admin mehr, er war kein Mitglied der Gruppe mehr.. :-/

 

hmm da is wohl was schief gelaufen bei dir, oder? ;)

 

Vielleicht lag es daran dass ich die DDP angefasst habe :suspect: , war wohl etwas zu leichtsinnig und voreilig :wink2:

 

Ja, das war leichtsinnig. Wie ich schon schrieb, testet man sowas vorher an einem PC mit einer dedizierten Richtlinie und danach konfiguriert man sowas auf keinen Fall ganz oben und schon gar nicht in der DDP (auch wenns dort funktionieren würde).

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...