Jump to content
Sign in to follow this  
grizzly999

Lokale Gruppenrichtlinie nicht für Administratoren

Recommended Posts

Immer wieder wird gefragt, wie man auf lokalen Rechnern einer Arbeitsgruppe, also ohne Domäne, lokale Gruppenrichtlinien einrichten kann, die dann aber nicht für die Mitglieder der lokalen Administratorengruppe gelten.

Microsoft bietet dafür folgende Lösung an: http://tinyurl.com/w4i5

bzw. in Langform http://support.microsoft.com/default.aspx?scid=kb;de;293655&Product=WWin2000Ger

 

Eine weitere Möglichkeit besteht darin, mit dem guten alten, aus Win 9x und NT 4.0 bekannten, Poledit die Richtlinien zu bearbeiten. Es geht aber nicht der poledit von NT 4.0 oder Win9x, aber der aus dem Office XP Resource Kit, zu beziehen und Anleitung hier:

http://www.microsoft.com/office/ork/xp/appndx/appa18.htm

Diese Methode hat gegenüber der von Microsft genannten den Vorteil, dass man auch andere Benutzer oder Gruppen von den Richtlinien ausnehmen kann.

 

grizzly999

 

Schlüsselwörter:

lokal lokale Gruppenrichtlinie Gruppenrichtlinien Administrator Administratoren Ausnahme Arbeitsgruppe Workstation nicht gelten

Share this post


Link to post
Share on other sites

Hi

 

Eine weitere Möglichkeit besteht darin, mit dem guten alten, aus Win 9x und NT 4.0 bekannten, Poledit die Richtlinien zu bearbeiten. Es geht aber nicht der poledit von NT 4.0 oder Win9x, aber der aus dem Office XP Resource Kit, zu beziehen und Anleitung hier:

 

Dazu habe ich folgende Frage: Wie kann ich mit dem Ding (dem Poledit aus dem Office XP Ressource Kit) unter W2K die Richtlinien bearbeiten ? Ich krieg es damit bisher nicht hin, die richtigen ADM-Files zu laden. Wie komme ich an ADM-Files, die mit dem Poledit kompatibel sind und mir erlauben, die Einstellungen analog zu den GPOs zu machen ?

 

Wäre cool, wenn mir da jemand helfen könnte.

Share this post


Link to post
Share on other sites

Die ADM-Dateien müssen dazu absolut NT 4.0-konform sein, also die ganzen #if.... #endif Zeilen oder explain-Einträge gab es in den ADMs von NT 4.0 nicht.

 

 

grizzly999

Share this post


Link to post
Share on other sites

Hi,

 

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.

Funktioniert wunderbar. Keine Schwierigkeiten.

 

 

Gruß

 

MacabroS

Share this post


Link to post
Share on other sites
Sag mal funktionieren diese Konfigurationen auch für XP-Rechner?

Denn im Microsoft Text steht ja, dass es nur für Win2kPro und Win2kServer gelten würde???

 

:suspect:

das wäre jetzt auch frage gewesen

nach dieser anleitung habe ich es schon ausprobiert aber wenn ich dann in den richtlinien nachschaue sind diese gesetzt aber sie funktionieren nicht als admin und bentzer

vieleicht habe ich ja etwas falsch gemacht ?

Share this post


Link to post
Share on other sites
Hi,

 

also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.

Funktioniert wunderbar. Keine Schwierigkeiten.

 

Kann man das auch im Domänenumfeld anwenden, dass GPOs umgesetzt werden, lokale Richtlinien aber nicht?

Share this post


Link to post
Share on other sites

Was meinst Du mit "keinen Einfluss" ? Ich kann lokale Richtlinien mit SECEDIT z.B. beeinflussen, was man in einer Domäne normalerweise nicht macht, da es ja zentral möglich ist ...

Ich denke aber, dass wir irgendwie aneinander vorbei reden ... :)

Share this post


Link to post
Share on other sites

Admin B hat keinen Einfluss auf die GPOs, er soll per lokalen Richtlinien öffentliche PCs absichern, die über die GPO Restriktionen hinaus gehen, also Richtlinien definieren die per GPO nicht definiert sind. Allerdings möchte er dass diese Richtlinien nicht für lokale Administratoren gelten.

 

Shrek

Share this post


Link to post
Share on other sites
also ich mache das immer so das ich auf NTFS Recht Ebene den Administratoren den Zugriff auf den GroupPolicy Ordner unterhalb System32 entziehe. Damit können dieses nicht mehr darauf zugreifen und übernehmen die angepasste nicht. Zusätzlich erstelle ich einen User der dann Vollzugriff auf diesen Ordner besitzt und damit per gpedit.msc die Policy bearbeiten kann.

 

Das gibt sicher fette Rote Meldungen im Eventlog so kann er das Profil nicht sauber verarbeiten.

 

Grüsse

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...