Verschachtelung von Gruppen, GPO "AllowLogonLocaly"

[takis.ch 10]

Hallo zusammen,

 

ich hoffe ihr könnt mir bei folgender Problemstellung helfen.

 

Ich habe 5 Member Server SRV1-5 die Mitglied der Domäne DOM1 sind.

• Auf diesen 5 Servern existieren jeweils die lokale Gruppe "SrvLocalTest1", die das Recht "AllowLogonLocaly" benötigen.
• In der DOM1 existieret die Domain Lokale Gruppe "GLLogonLocaly".
• In den Security Settings der DOM1 GPO ist unter "...User Rights Assignement\Allow Log On Localy" ausschließlich nur "DOM1\GLLogonLocaly" aufgenommen.

Meine Frage ist folgende:

Wie kann ich am sinnvollsten den Server lokalen Gruppen "SrvLocalTest1" das Recht "AllowLogonLocaly" vergeben (ohne eine weitere GPO zu erstellen, die nur auf diese 5 Server verlinkt wird)?

Wäre eine Verschachtelung der Server lokalen Gruppe "SrvLocalTest1" in der Domain Lokale "DOM1\GLLogonLocaly" möglich?

 

Ein manueles hinzufügen der Gruppe in der lokalen Policy über "ntrights.exe +r SeInteractiveLogonRight -u "SrvLocalTest1"" würde nichts bringen, da nach dem nächsten ziehen der GPO die Einstellung wieder weg ist.

 

Hoffe ich habe mich einigermassen verständlich ausgedrückt.

 

Grüße

Takis

[Dukel 468]

Du kannst Gruppen per GPP verwalten oder über "eingeschränkte Gruppen".

Wieso lokale Gruppen und keine AD Gruppe?