Jump to content

[gelöst] GPO für lokalen Administrator


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich möchte einen Benutzer, der auf den Clients über Adminrechte verfügt um beispielsweise Software zu installieren. Dafür habe ich mich genau an dieses Video gehalten, dass erklären soll, wie man das mittels GPO regeln kann. Leider klappt es bei mir nicht. In einem Test versuche ich den Gerätemanager zu öffnen und werde nach Admindaten gefragt. Jemand eine Idee? Hat der Typ im Video etwas vergessen?

 

gpupdate /force habe ich natürlich gemacht, Das Anmeldescript wird verarbeitet. GPOs scheinen also verarbeitet zu werden.

bearbeitet von Cryer
Link zu diesem Kommentar

Was ist an /force falsch?

Auf dem Client keine Auffälligkeiten, keine Warnungen oder Fehler.

 

Kurz zwischenrein gefragt: Kann man mittels cmd-Script bei der Anmeldung überprüfen,. bzw. sich anzeigen lassen, welche GPO verarbeitet wurden? Würde denke ich in der Situation helfen, wobei ich sicher bin, dass alle GPOs verarbeitet werden. Ich habe für jede Aufgabe eine eigene GPO erstellt und was ich prüfen konnte wurde auch verarbeitet. Nur das mit dem lokalen Admin klappt nicht, aber warum sollte ausgerechnet diese GPO nicht verarbeitet werden?

 

TBGPOs1BJX85.png

Link zu diesem Kommentar

Was ist an /force falsch?

SChonmal geschaut, wofür /force überhaupt ist? Oder machst du das, weils so martialisch klingt? Oder einfach nur so? :)

 

Kurz zwischenrein gefragt: Kann man mittels cmd-Script bei der Anmeldung überprüfen,. bzw. sich anzeigen lassen, welche GPO verarbeitet wurden? Würde denke ich in der Situation helfen, wobei ich sicher bin, dass alle GPOs verarbeitet werden. Ich habe für jede Aufgabe eine eigene GPO erstellt und was ich prüfen konnte wurde auch verarbeitet. Nur das mit dem lokalen Admin klappt nicht, aber warum sollte ausgerechnet diese GPO nicht verarbeitet werden?

Da fallen mir jetzt echt genug Gründe ein. ;) Ansonsten schau dir gpresult /h an, da siehst du genau welche angewandt wird und welche nicht und warum.

 

Wenn ich den Bild interpretiere, hoffe ich mal, dass in der OU lokale Administratoren keine User sondern Computerobjekte stecken. Ansonsten üben wir nochmal, wofür Computerrichtlinien gelten. ;)

 

Bye

Norbert

Link zu diesem Kommentar

OK, du wirst mich gedanklich erschlagen, aber in der OU "_*****Administratoren" steckt ein Benutzer, bzw. Gruppe, welche ich für die lokale Administration vorgesehen habe. (Auf dem DC soll der gar nix machen) Ich habe es genau wie in dem verlinkten Video gemacht. Ich will ja, dass ein bestimmter Benutzer Adminrechte hat und nicht jeder der sich an dem Computer anmeldet.

 

/force verwende ich weil es heißt, dass die Richtlinie dann sofort und ohne Verzögerung aktualisiert wird. Force bedeutet ja "zwingen" oder "erzwingen", also ich erzwinge den Vorgang. Außerdem soll es hilfreich sein, wenn man eine GPO ändert. Ist das alles falsch bzw. nicht mehr gültig?

Link zu diesem Kommentar

Nee hast du nicht. Worauf wirken "COMPUTER-Richtlinien"? Und was steckt in deiner OU? Jetzt deutlicher? /Force hat mit der "zeitlichen Anwendung" überhaupt nichts zu tun. Lies dir doch einfach mal die Hilfe dazu durch? Oder hast du /? noch nicht gefunden? ;) Deine Aussage ist insofern falsch und war noch nie gültig. Im Gegenteil habe ich dafür schon genug Fehler gesehen, die durch die permanente Verwendung von /Force durch die Admins gar nicht als Fehler erkannt wurden.

 

Bye

Norbert

 

PS: Nein, du hast es nicht genauso wie im Video /gemacht/, denn du hast es richtigerweise auf eine OU verlinkt. Nur eben auf die falsche. :p

bearbeitet von NorbertFe
Link zu diesem Kommentar

Hä, wieso auf die Falsche? (Bin ich jetzt vollkommen verblödet?) Die GPO ist doch in der OU der Administratoren, also dort wo ich sie haben will (Hatte die GPO aber testweise auch schon direkt dort wo Internet Explorer und Drucker stehen, also eins drüber. Änderte nix.)

 

Edit: Hier das GPresult:

 

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
    _********_Administratoren_Scripte
    Lokaler Administrator
    Default Domain Policy
    Internet Explorer
    Kennwortrichtlinie

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
    Richtlinien der lokalen Gruppe
        Filterung:  Nicht angewendet (Leer)

    Drucker
        Filterung:  Verweigert (Sicherheit)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
    _G_********_Administratoren
    Jeder
    Remotedesktopbenutzer
    Benutzer
    INTERAKTIVE REMOTEANMELDUNG
    INTERAKTIV
    Authentifizierte Benutzer
    Diese Organisation
    LOKAL
    Von der Authentifizierungsstelle bestätigte ID
    Mittlere Verbindlichkeitsstufe

Scheint also grundsätzlich verarbeitet zu werden, aber die Mitgliedschaft ist falsch. Hier ein Screen, wie es eigentlich ist:

 

TBAdminJ7M6QK.png

bearbeitet von Cryer
Link zu diesem Kommentar

Hä, wieso auf die Falsche? (Bin ich jetzt vollkommen verblödet?)

Da du immer meine Aussagen ignorierst, möchte ich dem fast zustimmen. Aber es ist ja schon spät am Abend.

 

Die GPO ist doch in der OU der Administratoren, also dort wo ich sie haben will

Du willst, dass der Computer eine Gruppe bzw. einen USer der Domäne zum lokalen Administrator macht. Also wer sollte DAS GPO ausführen? Der User der Admin werden soll, oder der Computer, auf dem der User Admin werden soll?

 

Bye

Norbert

 

 

PS: Wenns jetzt immer noch nicht klick macht, dann würde ich sagen, schau dir mal die Grundlagen insgesamt nochmal an. ;)

Link zu diesem Kommentar

Wir können jetzt noch ganz viel testen, aber ich würde sagen nimm mal die Anleitung:

http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ (weiter unten).

 

Ich denke Mark hat das etwas sinnvoller erklärt und nicht son blödes Youtube Video, von denen ich bis heute nicht verstehe, was daran so toll sein soll. :p

Link zu diesem Kommentar

Ja logisch. Anmelden hat ja auch nichts mit Computerrichtlinien zu tun. ICh glaub du solltest doch nochmal die Grundlagen verinnerlichen. ;)

 

Bye

Norbert

 

PS: Wieso "trotzdem" wieder was gelernt? Das war hier Grundlagenarbeit, wär ja wohl schlimm, wenn das _nur_ trotzdem gewesen wär. :p

bearbeitet von NorbertFe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...