Jump to content

Lokale Gruppen über Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

es gibt ja die Möglichkeit über GPP die lokalen Gruppen zu steuern.

Nun werden da aber leider nicht alle Member hinzugefügt und ich weiß nicht warum.

 

Die Einstellung:

 

Gruppenname Administratoren (integriert) 
Beschreibung modified by nonadmin gpp 
Alle Mitgliederbenutzer löschen Aktiviert 
Alle Mitgliedergruppen löschen Deaktiviert 
Mitglieder hinzufügen

BUILTIN\Administrator  
DOMAIN\IT-Helpdesk 
DOMAIN\helpdesk 

DOMAIN\Domänen-Admins

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein 
Element entfernen, wenn es nicht mehr angewendet wird Nein 
Nur einmalig anwenden Nein 
 

Die fett markierten (User+Gruppe) funktionieren aber nicht. Ich sehe mit rsop auch keine Fehler und der Text in der Beschreibung taucht auch in der Gruppe auf.
 

Weiß jemand wieso?

Link zu diesem Kommentar

Da steht unter GPP lokale Gruppen: "Wenn hier 5 Mitglieder hinzugefügt werden und eines der Mitglieder existiert nicht (oder das Hinzufügen scheitert aus anderen Gründen), dann werden alle weiteren Mitglieder nicht mehr hinzugefügt."

 

Also das könnte ein Grund sein. Kann das ein Problem sein wenn Gruppen und User über verschiedene OU verteilt sind oder das Objekt nicht gefunden wird? Die administrativen User habe ich nämlich im default Users Container aber die Gruppen in einer OU.

 

Was bringt es am PC eine zusätzliche lokale Gruppe anzulegen im Gegensatz zum nutzen der vorhandenen lokalen Administratoren Gruppe?

Link zu diesem Kommentar

Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht :-)

 

In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen.

Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt.

 

NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.

Link zu diesem Kommentar

Ja soweit war ich auch aber warum die nicht funktioniert das ist die Frage. Muss ich wohl noch etwas rumtesten um drauf zu kommen.

 

btw. hier Seite 49

https://www.troopers.de/downloads/troopers17/TR17_AD_signed.pdf

Da steht bei local accounts extra mit Ausrufezeichen do not use GPPs. Aber wieso?

 

Edit: Vermutlich wenn man Passwörter in AD eintippt soviel wie ich gefunden habe, siehe auch LAPS

bearbeitet von xrated2
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...