11
Sicherheitseinstellung für GPO in Windows 2003 Server
Hallo,
wie kann man bei 2003 Server die Sicherheiteinstellungen für GPOs einsehen bzw. ändern? Hintergrund ist dass ich einzelnen Usern einer OU das Recht für Gruppenrichtlinien verweigern will.
wie kann man bei 2003 Server die Sicherheiteinstellungen für GPOs einsehen bzw. ändern? Hintergrund ist dass ich einzelnen Usern einer OU das Recht für Gruppenrichtlinien verweigern will.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41479
Url: https://administrator.de/contentid/41479
Printed on: April 18, 2024 at 06:04 o'clock
11 Comments
Latest comment
Hallo,
wie kann man bei 2003 Server die
Sicherheiteinstellungen für GPOs
einsehen bzw. ändern? Hintergrund ist
dass ich einzelnen Usern einer OU das Recht
für Gruppenrichtlinien verweigern will.
wie kann man bei 2003 Server die
Sicherheiteinstellungen für GPOs
einsehen bzw. ändern? Hintergrund ist
dass ich einzelnen Usern einer OU das Recht
für Gruppenrichtlinien verweigern will.
Hallo,
also mir ist neu, dass "normale" User das Recht haben die GPO zu ändern. Aber wenn Du das dennoch tun willst, muss Du in die Management Console das SnapIn Gruppenrichtlinienverwaltung hinzufügen. Am besten auf einem DC.
Gut ist auch auf dem Server die gpmc.msi zu installieren, das macht das editieren der GPOs einfacher.
Wichtig wäre vielleicht noch die ADM Dateien von XP SP2 auf dem Server einzuspielen, damit man auch die mit SP2 neue Funktionen steuern kann. Ach ja und der Patch auf dem Server danach nicht vergessen: WindowsServer2003-KB842933-x86-deu.EXE
Hoffe ich habe damit geholfen.
Gruß
Eric
Muss mich noch mal kurz melden:
Um die Berechtigung in einer OU zu ändern musst Du wie folgt vorgehen:
in AD-Benutzer und Computer gehen und dort rechte Maustaste Eigenschaften auf die entsprechende OU. Dort der Reiter Sicherheit aufrufen. Die Benutzer, für die eine Gruppenrichtlinien funktionieren soll brauchen lesen Rechte.
Gruß
Eric
Um die Berechtigung in einer OU zu ändern musst Du wie folgt vorgehen:
in AD-Benutzer und Computer gehen und dort rechte Maustaste Eigenschaften auf die entsprechende OU. Dort der Reiter Sicherheit aufrufen. Die Benutzer, für die eine Gruppenrichtlinien funktionieren soll brauchen lesen Rechte.
Gruß
Eric
Hallo Eric,
danke erstmal für deine Hilfe aber ich komme nicht so richtig weiter. Die Sachen aus deiner ersten Antwort sind natürlich alle schon erledigt. Ich habe ein GPO erstellt die auf alle Computer eines Standorts verknüpft sind. Jetzt möchte ich aber einen Computer davon entfernen für den diese Richtlinie nicht greifen soll. Ich habe recherchiert und herausgefunden dass man dies über die Sicherheitseinstellungen lösen kann indem man für diesen Computer die Berechtigung: gruppenrichtlinien übernehmen verweigert. Leider komme ich nicht zu den Sicherheitseinstellungen. Ich hatte es so verstanden das man mit rechtsclick unter Benutzer und Computer auf den gewüschten Container geht und unter dem Reiter Gruppenrichtlinie die Sicherheitseinstellungen der Richtlinie einstellen kann. Bei mir ist leider auf diesem Reiter die Meldung dass ich das Snap-in für die Gruppenrichtlinienverwaltung installiert habe und dieser Reiter somit nicht mehr gültig ist und nun weiß ich nicht mehr weiter. Ich hoffe dass ich nicht ganz auf dem Holzweg bin und grundsätzlich was vekehrt mache?
danke erstmal für deine Hilfe aber ich komme nicht so richtig weiter. Die Sachen aus deiner ersten Antwort sind natürlich alle schon erledigt. Ich habe ein GPO erstellt die auf alle Computer eines Standorts verknüpft sind. Jetzt möchte ich aber einen Computer davon entfernen für den diese Richtlinie nicht greifen soll. Ich habe recherchiert und herausgefunden dass man dies über die Sicherheitseinstellungen lösen kann indem man für diesen Computer die Berechtigung: gruppenrichtlinien übernehmen verweigert. Leider komme ich nicht zu den Sicherheitseinstellungen. Ich hatte es so verstanden das man mit rechtsclick unter Benutzer und Computer auf den gewüschten Container geht und unter dem Reiter Gruppenrichtlinie die Sicherheitseinstellungen der Richtlinie einstellen kann. Bei mir ist leider auf diesem Reiter die Meldung dass ich das Snap-in für die Gruppenrichtlinienverwaltung installiert habe und dieser Reiter somit nicht mehr gültig ist und nun weiß ich nicht mehr weiter. Ich hoffe dass ich nicht ganz auf dem Holzweg bin und grundsätzlich was vekehrt mache?
Hi,
Die brauchen "ausführen" Rechte. Nur lesen ist IMO zu wenig.
Besser ist es ohnehin, das in der Group Policy Management Console zu machen.
cu,
Alex
Die Benutzer, für die eine Gruppenrichtlinien funktionieren soll brauchen lesen Rechte.
Die brauchen "ausführen" Rechte. Nur lesen ist IMO zu wenig.
Besser ist es ohnehin, das in der Group Policy Management Console zu machen.
cu,
Alex
Hallo Eric,
danke erstmal für deine Hilfe aber ich
komme nicht so richtig weiter. Die Sachen aus
deiner ersten Antwort sind natürlich
alle schon erledigt. Ich habe ein GPO
erstellt die auf alle Computer eines
Standorts verknüpft sind. Jetzt
möchte ich aber einen Computer davon
entfernen für den diese Richtlinie nicht
greifen soll. Ich habe recherchiert und
herausgefunden dass man dies über die
Sicherheitseinstellungen lösen kann
indem man für diesen Computer die
Berechtigung: gruppenrichtlinien
übernehmen verweigert. Leider komme ich
nicht zu den Sicherheitseinstellungen. Ich
hatte es so verstanden das man mit
rechtsclick unter Benutzer und Computer auf
den gewüschten Container geht und unter
dem Reiter Gruppenrichtlinie die
Sicherheitseinstellungen der Richtlinie
einstellen kann. Bei mir ist leider auf
diesem Reiter die Meldung dass ich das
Snap-in für die
Gruppenrichtlinienverwaltung installiert habe
und dieser Reiter somit nicht mehr
gültig ist und nun weiß ich nicht
mehr weiter. Ich hoffe dass ich nicht ganz
auf dem Holzweg bin und grundsätzlich
was vekehrt mache?
danke erstmal für deine Hilfe aber ich
komme nicht so richtig weiter. Die Sachen aus
deiner ersten Antwort sind natürlich
alle schon erledigt. Ich habe ein GPO
erstellt die auf alle Computer eines
Standorts verknüpft sind. Jetzt
möchte ich aber einen Computer davon
entfernen für den diese Richtlinie nicht
greifen soll. Ich habe recherchiert und
herausgefunden dass man dies über die
Sicherheitseinstellungen lösen kann
indem man für diesen Computer die
Berechtigung: gruppenrichtlinien
übernehmen verweigert. Leider komme ich
nicht zu den Sicherheitseinstellungen. Ich
hatte es so verstanden das man mit
rechtsclick unter Benutzer und Computer auf
den gewüschten Container geht und unter
dem Reiter Gruppenrichtlinie die
Sicherheitseinstellungen der Richtlinie
einstellen kann. Bei mir ist leider auf
diesem Reiter die Meldung dass ich das
Snap-in für die
Gruppenrichtlinienverwaltung installiert habe
und dieser Reiter somit nicht mehr
gültig ist und nun weiß ich nicht
mehr weiter. Ich hoffe dass ich nicht ganz
auf dem Holzweg bin und grundsätzlich
was vekehrt mache?
Mmh verstehe...
...mir fällt eigentlich nur ein, dass man Berechtigungen auf Gruppenebene und Userebene setzen kann. Einen speziellen PC zu Berechtigen und auszuschliessen kenne ich in der Form nicht.
Ich habe in solchen fällen eine neue OU gemacht, weil mir das als übersichtlicher erschien.
Zu dem Problem in AD-Users und Computers, dass der Reiter nicht mehr da ist, vermute ich, dass Du die gpmc.msi nochmals installieren könntest. In die gpmc.msc kommst du ja auch so rein...
Mehr kann ich leider nicht dazu beitragen, sorry!
Hi,
> Die Benutzer, für die eine
Gruppenrichtlinien funktionieren soll
brauchen lesen Rechte.
Die brauchen "ausführen"
Rechte. Nur lesen ist IMO zu wenig.
Besser ist es ohnehin, das in der Group
Policy Management Console zu machen.
cu,
Alex
> Die Benutzer, für die eine
Gruppenrichtlinien funktionieren soll
brauchen lesen Rechte.
Die brauchen "ausführen"
Rechte. Nur lesen ist IMO zu wenig.
Besser ist es ohnehin, das in der Group
Policy Management Console zu machen.
cu,
Alex
Hi Alex,
kann sein dass Du Recht hast, ich will das nicht in Frage stellen, aber bei uns ist unter Active Directory Users und Computers in Reiter Sicherheit bei rechter Maustaste Eigenschaften auf eine OU folgendes eingetragen:
Authentifizerte Benutzer: Lesen
Sind wir in falschen Eigenschaften?
Gruß
Eric
Hi,
so gehts: Eigenschaften der OU -> Gruppenrichtlinien -> Eigenschaften-Button -> Sicherheit.
(ohne GPMC)
mit GPMC: GPO auswählen -> Delegations -> (rechts unten der Button) Advanced.
Das Recht heisst auf deutsch "Gruppenrichtlinie übernehmen".
cu,
Alex
so gehts: Eigenschaften der OU -> Gruppenrichtlinien -> Eigenschaften-Button -> Sicherheit.
(ohne GPMC)
mit GPMC: GPO auswählen -> Delegations -> (rechts unten der Button) Advanced.
Das Recht heisst auf deutsch "Gruppenrichtlinie übernehmen".
cu,
Alex
Hi,
so gehts: Eigenschaften der OU ->
Gruppenrichtlinien -> Eigenschaften-Button
-> Sicherheit.
(ohne GPMC)
mit GPMC: GPO auswählen ->
Delegations -> (rechts unten der Button)
Advanced.
Das Recht heisst auf deutsch
"Gruppenrichtlinie
übernehmen".
cu,
Alex
so gehts: Eigenschaften der OU ->
Gruppenrichtlinien -> Eigenschaften-Button
-> Sicherheit.
(ohne GPMC)
mit GPMC: GPO auswählen ->
Delegations -> (rechts unten der Button)
Advanced.
Das Recht heisst auf deutsch
"Gruppenrichtlinie
übernehmen".
cu,
Alex
Hi Alex,
dank Dir. Bin jetzt im Bilde. Ich dachte zuerst Delegation wäre nur da, um anderen Admins die Verwaltungsrechte zu geben für die GPO. Du hast natürlich recht. Das Recht Gruppenrichtlinie übernehmen wird dort benötigt.
Gruß
Eric
Gruß
Eric
Hi,
so gehts: Eigenschaften der OU ->
Gruppenrichtlinien -> Eigenschaften-Button
-> Sicherheit.
(ohne GPMC)
mit GPMC: GPO auswählen ->
Delegations -> (rechts unten der Button)
Advanced.
Das Recht heisst auf deutsch
"Gruppenrichtlinie
übernehmen".
cu,
Alex
so gehts: Eigenschaften der OU ->
Gruppenrichtlinien -> Eigenschaften-Button
-> Sicherheit.
(ohne GPMC)
mit GPMC: GPO auswählen ->
Delegations -> (rechts unten der Button)
Advanced.
Das Recht heisst auf deutsch
"Gruppenrichtlinie
übernehmen".
cu,
Alex
An der von Dir beschriebenen Stelle kann man dann auch einen PC hinzufügen und Zugriff verweigern eintragen. Obs funktioniert in der Praxis weiss ich nicht.
Gruß
Eric
Hi Alex,
du hast mich erlöst. Danke, genau das habe ich gesucht.
Gruß
h2de
du hast mich erlöst. Danke, genau das habe ich gesucht.
Gruß
h2de
Hi,
das sollte funktionieren. Ich habe es bisher nur mit Benutzern gemacht, als ich auf einem DC, der auch TS war, eine GPO für ALLE (und da habe ich dann die Administratoren rausgenommen) machen musste.
Mit Rechnern muss es auch gehen, da ich mich erinnere gesehen zu haben, dass manche GPO's z.B. für Exchange-Server anders definiert sind (oder waren es delegierte Berechtigungen) - egal. Wird schon gehen.
cu,
Alex
das sollte funktionieren. Ich habe es bisher nur mit Benutzern gemacht, als ich auf einem DC, der auch TS war, eine GPO für ALLE (und da habe ich dann die Administratoren rausgenommen) machen musste.
Mit Rechnern muss es auch gehen, da ich mich erinnere gesehen zu haben, dass manche GPO's z.B. für Exchange-Server anders definiert sind (oder waren es delegierte Berechtigungen) - egal. Wird schon gehen.
cu,
Alex
