GroupPolicy soll nur für bestimmte AD-Gruppe gelten

[Gadget 37]

Hihi,

 

is ne logische Folge ein schlechten Gruppenbeschreibung durch MSFT ü. dem man leicht drüberfällt ;)

Authentifizierte Benutzer = Benutzer u. Computer :D

 

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#WellknownSID

Authentifizierte Benutzer

(S-1-5-11)

 

Beinhaltet alle Benutzer und Comuter, deren Identität authentifiziert (beglaubigt) wurde. Der GAST gehört nicht zu den Authentifizierten Benutzern auch wenn der Gast-Account über ein Passwort verfügt.

 

LG Gadget

[IThome 10]

Genau da liegt auch meiner Meinung nach der Fehler ... :D

[bLUEaNGEL 10]

hm ich war immer der meinung, dass die richtlinie greift, weil in der ou der ts liegt

[bLUEaNGEL 10]

also - was genau sollte nun in die richtliniensicherheitsfilterung eingetragen werden? nur der terminalserver oder terminalserver (also computerkonto) + entsprechende user-gruppe? (ohne die gruppe authentifizierte user)

[IThome 10]

Nein, er hat keine Berechtigungen, das GPO zu lesen oder auszuführen, wenn Du die Authentifizierten Benutzer entfernst und das Konto nicht zufügst. Also wird der Computerteil nicht bearbeitet, also auch nicht die Loopbackverarbeitung und deswegen auch nicht die Einschränkungen der User ...

edit: Füge das Computerkonto des Terminalservers zu und lass den Rest so wie er ist (vielleicht den Admins noch Gruppenrichtlinie übernehmen verweigern, damit sie nicht eingeschränkt werden)

[Gadget 37]

hm ich war immer der meinung, dass die richtlinie greift, weil in der ou der ts liegt

 

Schon richtig, aber das Computerkonto hat keinen Lesezugriff auf die Policy.

Deswegen wie ITHome schon sagte den TS zur ACL der Gruppenrichtlinie hinzufügen:

 

Berechtigung Lesen u. Gruppenrichtlinie übernehmen.

 

EDIT: @ITHome sry, du bist heute einfach schneller überlasse dir den Thread :rolleyes:

 

LG Gadget

[bLUEaNGEL 10]

also (sorry - etwas verwirrend das ganze):

 

usergruppe + computerkonto des terminalservers in die sicherheitsfilterung eintragen

gruppe der authentifzierten user kann ich entfernen

 

korrekt?

[IThome 10]

Ist doch egal wer antwortet :)

edit: das ist korrekt

[bLUEaNGEL 10]

es geeeeeeeeeeeeeeeeeeeeeeeeht der ******dreckt das geeeeeeeeeeeeeeeeeeeeeht

 

soniiiiiiiiiiiiiiiiiiiiiiiiiiiiii :)

 

vielen dank euch

 

auch wenn dies wieder zu dem kapitel "aufschreiben - weil in zig wochen wieder vergessen" gehört...

[Gadget 37]

@Blueangel:

 

Kleine Best-Practice-Regel noch dazu keine Domänenlokale Gruppe dafür verwenden:

 

Group Policy Should Not Be Filtered By Domain Local Groups

http://support.microsoft.com/kb/309172/en-us

[bLUEaNGEL 10]

keine domänenlokale gruppe??? wat???

[Gadget 37]

Diese sollst du nicht zur Sicherheitsfilterung von Gruppenrichtlinien verwenden.

 

Die Gründe dafür sind genauer im KB genannt, würde aber in deinem Fall wahrscheinlich keine Probleme bereiten da ja es ja um ne Loopback-Richtlinie geht.

 

Aber ich wollts nur gesagt haben, is mir gerade noch eingefallen. => Best practice

[bLUEaNGEL 10]

:) ich kannte nur den begriff "domänenlokale" gruppe nicht - dank dir für den tipp - werd mal nachlesen