axipas 10 Geschrieben 22. Mai 2006 Melden Geschrieben 22. Mai 2006 Hallo zusammen! Ich habe ein kleines Problem betreffend den "Software Restriction Policies". Ich kann zwar eine Pfad-Regel erstellen und diese auf disallowed setzen und dies funktioniert auch perfekt. Allerdings gilt dann diese Regel ebenfalls für den Administrator. Wo muss ich dies einstellen? Ist ein W2k3 Server. Ich verwalte es über die "Default Domain Security Settings". Danke für eure Hilfe, Pascal Zitieren
SaschaG 10 Geschrieben 22. Mai 2006 Melden Geschrieben 22. Mai 2006 Mach eine separate Policy und setze dem Admin die Berechtigungen auf Deny - Fertig :) Gruß Zitieren
IThome 10 Geschrieben 22. Mai 2006 Melden Geschrieben 22. Mai 2006 Du kannst doch bestimmen, für wen das gelten soll (unter "Erzwingen" kannst Du einstellen, ob es für alle Benutzer oder alle Benutzer ausser den lokalen Administratoren gültig sein soll) Zitieren
axipas 10 Geschrieben 22. Mai 2006 Autor Melden Geschrieben 22. Mai 2006 @IThome: Ja, das ist möglich... allerdings nur für den lokalen Administrator. Ich müsste dort einige User eintragen. Das muss doch irgendwie möglich sein ;) @IThome: Ich habe versucht über den "Group Policy Object Editor" eine neue Gruppenrichtlinie zu erstellen. Allerdings sehe ich dann nirgends die Settings für die "software restriction policies"... was mach ich falsch? Kann ich die irgendwie hinzufügen? Ich muss nur für den einen Server (SDC) eine Software restriction erstellen. Das heisst, die Regel darf nur für diesen Server und nicht für die Domain gelten. danke für eure Hilfe... Pascal Zitieren
IThome 10 Geschrieben 22. Mai 2006 Melden Geschrieben 22. Mai 2006 Dann erzeuge eine OU, verschiebe den Server dort hinein und erstelle ein entsprechendes GPO, welche Du dann in diese OU linkst. Was für eine Art Server ist das ? Ein Terminalserver ? In welchem Teil des GPOs hast Du die Restriction Policy angelegt, in der Computer- oder der Benutzerkonfiguration ? Erzähl mal bitte, was Du erreichen möchtest ... :) Zitieren
axipas 10 Geschrieben 23. Mai 2006 Autor Melden Geschrieben 23. Mai 2006 Ich habe eine Domäne in der 4 Server sind. Je zwei virtuelle Server einem physikalischen Gerät. Nun möchte ich auf dem Secondary domain controller nur MS Project und den IE erlauben. Allerdings sollte es möglich sein, als Administrator (mindestens Domänenadministrator), alle Programme aufzurufen. Ist es nun verständlicher? Zitieren
IThome 10 Geschrieben 23. Mai 2006 Melden Geschrieben 23. Mai 2006 Dann erzeuge Dir ein GPO, welches die Softwarerichtlinie in der Computerkonfiguration vornimmt, unter "Erzwingen" konfigurierst Du, dass alle Benutzer ausser lokalen Administratoren durch die Pfadregel eingeschränkt werden. In der Sicherheitsfilterung konfigurierst Du, dass nur dieser eine Domänencontroller die Gruppenrichtlinie übernehmen soll (Authentifizierte Benutzer raus, Computerkonto des DCs rein ; Lesen und Gruppenrichtlinie übernehmen). Dann linkst Du das GPO indie entsprechende OU und setzt es nach ganz oben ... Es gibt noch eine weitere Möglichkeit mit Hilfe der Loopbackverarbeitung, aber bevor wir es zu kompliziert machen, teste das oben genannte erstmal aus ... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.