GPO für authentifizierte Benutzer und Domänen-benutzer - davon auch der Domänenadmin betroffen?

Mitglied: eastfrisian

eastfrisian (Level 1)

11.11.2013 um 15:28 Uhr, 3585 Aufrufe, 3 Kommentare, 1 Danke

hallo zusammen,

die lieben gpo's mal wieder...

ich habe vor einiger zeit angefangen software und rechte/einstellungen über domänenrichtlinien auszurollen. vorerst nur testweise innerhalb einiger abteilungen, jeweils nur für einzelne personen. nun möchte ich das ganze ausweiten.

ziel: jeder benutzer soll diese gpo erhalten. aber um gottes willen nicht das adminkonto,welches auf den servern angemeldet ist (gpo enthält u.a. energieoptionen - sehr ungünstig für server).

wie genau muss ich die gpo denn jetzt verteilen? wenn ich die gpo auf "domänenbenutzer" verrechte, ist davon dann auch der domänenadministrator betroffen, oder tatsächlich nur die "benutzer" ohne admin-rechte? gleiches für authentifizierte !benutzer!???

vielleicht kann mir das jemand erklären, bevor ich da 'nen bock schieße :D

viele grüße
Mitglied: Mantigul
11.11.2013, aktualisiert um 15:34 Uhr
Hallo,

Wenn dein Domänen-Administrator Mitglied der Domänenbenutzer ist, dann zieht die GPO auch dort.

Energieeinstellungen sind aber Computerspezifisch und nicht Benutzerspezifisch. Das Bedeutet, wenn du die GPO auf Domänenbenutzer anwendest und dort nicht die Loopbackfunktion aktiviert hast, dann werden die Einstellungen nicht ziehen.

Tipp: Computereinstellung in eine separate GPO packen und auf eine OU mit den gewünschten Computerkonten greifen lassen. Diese GPO.
Benutzereinstellung auf OUs mit Benutzern.

Gruß Sven


PS: Authentifizierte Benutzer sind alle, die sich über das Active Directory authentifizieren können.
Mitglied: eastfrisian
11.11.2013 um 15:40 Uhr
okay, soweit so gut.

wenn mir die kurze frage hinterher gestattet ist - die administratorkonten sind mitglied der domänenbenutzer. sicherlich nicht ganz ohne grund. können die da ohne weiteres raus? ich würde gern vermeiden das jedes mal software installiert wird, sobald sich irgendwo ein admin mit dem/einem administratorkonto anmeldet.
Mitglied: DerWoWusste
11.11.2013 um 15:44 Uhr
Moin.

Das Entfernen ist nicht notwendig. Automatische Softwareinstallationen sind computergebunden, normalerweise. Wenn Du sie an Nutzerobjekte bindest und tatsächlich willst, dass es Nutzerbezogen installiert wird, dann nimm lieber die Admins aus der OU der Nutzer raus, oder verwende eine Sicherheitsfilterung, damit die Gruppe "Domänenadministratoren die GPO gar nicht übernehmen darf.
Titel: GPO für authentifizierte Benutzer und Domänen-benutzer - davon auch der Domänenadmin betroffen?
Content-ID: 221667
Art des Inhalts: Frage
Ausgedruckt am: 21.08.2019 um 12:12:44 Uhr
URL: https://administrator.de/contentid/221667