TDW88 0 Geschrieben 27. Juni 2019 Melden Geschrieben 27. Juni 2019 Hallo zusammen, ich habe mal wieder eine Frage zu Gruppenrichtlinien. Ich möchte eine Gruppenrichtlinie für eine spezielle Sicherheitsgruppe in meinem AD erstellen. Nennen wir diese Gruppe mal "TestGruppe" Bevor ich jetzt einfach mit meinem Halbwissen loslege und damit Schaden anrichte, dachte ich mir, frage ich erstmal die Profis hier. Ich würde jetzt folgendermaßen vorgehen: 1) Eine Gruppenrichtlinie für die OU "Anwender" anlegen 2) Meine Einstellungen vornehmen 3) Folgende Änderungen an der Deligierung der Gruppenrichtlinie vornehmen: Alle Benutzer/Gruppen rausschmeißen bis auf "Domänen-Admins", "Domänencontroller der Organisation" & "TestGruppe" Den Domänen Admins alle Rechte geben aber das Recht "Gruppenrichtlinie übernehmen" verbieten An "Domänencontroller der Organisation" würde ich nichts ändern Der Gruppe "TestGruppe" würde ich das Recht zum "Lesen" & "Gruppenrichtlinie übernehmen" geben So, würde ich jetzt denken, wird die Gruppenrichtlinie nur für die Mitglieder der Gruppe "TestGruppe" ausgeführt. Sehe ich das richtig ? Bitte mich nicht gleich kreuzigen falls meine Vorgehensweise falsch ist Gruß TDW
testperson 1.860 Geschrieben 27. Juni 2019 Melden Geschrieben 27. Juni 2019 Hi, so wird das nichts. ;) Die Computerkonten müssen das GPO lesen können. Generell würde ich die Berechtigungen lassen wie sie sind und entsprechend anpassen / ergänzen. Authentifzierte Benutzer entfernen oder den "Zulassen" Haken bei "Gruppenrichtlinie übernehmen" entfernen Falls du die Authentifizierten Benutzer entfernst, die Gruppe "Domänencomputer" mit "Lesen" hinzufügen, da die Computerkonten das GPO lesen können müssen. Wenn Domänen-Admins (und ggfs. Organisations-Admins) das GPO nicht anwenden sollen -> "Verweigern" Haken bei "Gruppenrichtlinie übernehmen" setzen TestGruppe hinzufügen und "Zulassen" Haken bei "Gruppenrichtlinie übernehmen" setzen Falls du die Authentifizierten Benutzer entfernst, zusätzlich noch "Lesen" erlauben (Ist per Default angehakt beim Hinzufügen) Das sollte es gewesen sein. Gruß Jan
Sunny61 833 Geschrieben 27. Juni 2019 Melden Geschrieben 27. Juni 2019 Seit 2016 müssen auch die Computer die GPOs *Lesen* können dürfen. Siehe: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/
TDW88 0 Geschrieben 27. Juni 2019 Autor Melden Geschrieben 27. Juni 2019 Vielen Dank für die Hilfe! Klappt 1A
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden