10
ADS und GPO: Wie kann man..
Special User
Die normalen (Domänen-)Benutzer haben - zumindest bei mir - keine Administrationsrechte an lokalen Workstations. Für die ein oder andere globale BENUTZER-Gruppe brauche ich die Möglichkeit Maschineneinstellungen ändern zu können, also Zugriff/Ändern auf HKLM. Ein Einteilen der Gruppen nach COMPUTERN ist nicht sinnvoll. Was kann ich tun? Wenn ich die Gruppen nehme, haben sie KEIN ZUGRIFF als Ergebnis in der GPMC. Ach so: ADS-Server sind Windows 2003, die Workstations XP SP2.
Vielen Dank im Voraus für eine kleine Nachhilfe
Die normalen (Domänen-)Benutzer haben - zumindest bei mir - keine Administrationsrechte an lokalen Workstations. Für die ein oder andere globale BENUTZER-Gruppe brauche ich die Möglichkeit Maschineneinstellungen ändern zu können, also Zugriff/Ändern auf HKLM. Ein Einteilen der Gruppen nach COMPUTERN ist nicht sinnvoll. Was kann ich tun? Wenn ich die Gruppen nehme, haben sie KEIN ZUGRIFF als Ergebnis in der GPMC. Ach so: ADS-Server sind Windows 2003, die Workstations XP SP2.
Vielen Dank im Voraus für eine kleine Nachhilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33386
Url: https://administrator.de/contentid/33386
Ausgedruckt am: 23.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Wie viele CLients hast du?
Wenns nur ein paar sind, hast du die Möglichkeit, lokal als Administrator den Benutzer die Berechtigung für die entsprechenden keys in der Registry geben. (rechte Maustaste->Berechtigung)
Wenns nur ein paar sind, hast du die Möglichkeit, lokal als Administrator den Benutzer die Berechtigung für die entsprechenden keys in der Registry geben. (rechte Maustaste->Berechtigung)
An die 450 Clients in über 30 "Globalen Gruppen". Die Gruppen werden derzeit vor allem für die unterschiedlichen Dateiberechtigungen und Login-Skripte genutzt. Die lokale Variante scheidet somit aus. (Dafür habe ich ja Gruppenrichtlinien).
Also Frage: Wie kann man dafür sorgen, dass für bestimmte Benutzer(-gruppen) spezielle maschinenbezogene Einstellungen vorgenommen werden? Sicherheitsgruppen? Was ist damit gemeint?
Also Frage: Wie kann man dafür sorgen, dass für bestimmte Benutzer(-gruppen) spezielle maschinenbezogene Einstellungen vorgenommen werden? Sicherheitsgruppen? Was ist damit gemeint?
Hallo,
gib mal ein Beispiel was du genau erreichen willst?
Was für eine Einstellung soll z.B. für eine bestimmte Gruppe an bestimmten(?)
Maschinen gelten?
Gruß
Patrick
gib mal ein Beispiel was du genau erreichen willst?
Was für eine Einstellung soll z.B. für eine bestimmte Gruppe an bestimmten(?)
Maschinen gelten?
Gruß
Patrick
Also ein Beispiel:
Wir benutzen den sog. Informix-Client für den Zugriff auf IBM-Informix Datenbankserver. Der Client macht diverse Einstellungen unter HKLM/Software/Informix. Diese Einstellungen lassen sich normaler Weise nur von Admin ändern. Der Cliert wird von der Produktion und der Entwicklungsabteilung benutzt. Problem: Ich muß der Entwicklungsabteilung einräumen bestimmte Unterschlüssel z.B. Testdatenbankserver unter "sqlhosts" selbständig ändern zu können ohne Ihnen lokale Adminrechte für den gesamten PC zu geben. Oder noch besser: Es muß eine Richtlinie geben, die die unterschiedliche Einstellung vor gibt. Da Entwickler sich auch an Produktionsmaschinen anmelden können, macht eine Trennung nach Maschinen keinen Sinn. Maschinen (oder auch Computergruppen) scheinen aber notwendig zu sein, um HKLM-EInstellung zu ändern, oder nicht???
Wir benutzen den sog. Informix-Client für den Zugriff auf IBM-Informix Datenbankserver. Der Client macht diverse Einstellungen unter HKLM/Software/Informix. Diese Einstellungen lassen sich normaler Weise nur von Admin ändern. Der Cliert wird von der Produktion und der Entwicklungsabteilung benutzt. Problem: Ich muß der Entwicklungsabteilung einräumen bestimmte Unterschlüssel z.B. Testdatenbankserver unter "sqlhosts" selbständig ändern zu können ohne Ihnen lokale Adminrechte für den gesamten PC zu geben. Oder noch besser: Es muß eine Richtlinie geben, die die unterschiedliche Einstellung vor gibt. Da Entwickler sich auch an Produktionsmaschinen anmelden können, macht eine Trennung nach Maschinen keinen Sinn. Maschinen (oder auch Computergruppen) scheinen aber notwendig zu sein, um HKLM-EInstellung zu ändern, oder nicht???
ich glaub ich habs verstanden 
schau dir mal das an:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
dort unter Punkt "Registrierung" findest du die Vergabe von Berechtigungen auf Bereiche des HKLM.
Damit solltest du zum Ziel kommen?
gruß
schau dir mal das an:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
dort unter Punkt "Registrierung" findest du die Vergabe von Berechtigungen auf Bereiche des HKLM.
Damit solltest du zum Ziel kommen?
gruß
sorry den link hats verhagelt.
schau unter www.gruppenrichtlinien.de dann unter howto
und dort unter zentrale vergabe von berechtigungen...
im bereich registrierung.
gruß
schau unter www.gruppenrichtlinien.de dann unter howto
und dort unter zentrale vergabe von berechtigungen...
im bereich registrierung.
gruß
Danke. www.gruppenrichtlinien.de kenne ich, aber das habe scheinbar übersehen. Jetzt sind wir fast am Ziel (oder das Pudels Kern). Ich habe die Berechtigungen in der GPMC wie unter "Registrierung" gezeigt geändert. Allerdings nur den interessanten Teilschlüssel. Ich der GPMC habe ich festlegt, dass diese Richtlinie nur für Mitglieder von "Entwickler" gilt. Problem: Die Gruppenrichtlinienergebnissätze zeigen, mir dass die Richtlini ABGELEHNT wurde. Wahrscheinlicher Grund: In der Gruppe befinden sich Benutzer , keine Computer. Dann ist die Rede von Sicherheitsgruppen. ?????
dann versuch mal folgendes:
- pack den computer und den benutzer mit dem du testest ohne irgendwelche gruppen in
die gpo und versuchs nochmal
wenn es funktioniert erstell oder benutz eine vorhandene sicherheitsgruppe auf die du die gpo anwendest. je nachdem müssen benutzer und computer drin sein. ich würde aber
behaupten benutzer bzw. sicherheitsgruppen sollten reichen.
ob es eine sicherheitsgruppe oder eine verteilergruppe ist siehst du in den eigenschaften der gruppe im active directory.
poste ggf. mal den genauen fehler aus dem ereignisprotokoll.
gruß
- pack den computer und den benutzer mit dem du testest ohne irgendwelche gruppen in
die gpo und versuchs nochmal
wenn es funktioniert erstell oder benutz eine vorhandene sicherheitsgruppe auf die du die gpo anwendest. je nachdem müssen benutzer und computer drin sein. ich würde aber
behaupten benutzer bzw. sicherheitsgruppen sollten reichen.
ob es eine sicherheitsgruppe oder eine verteilergruppe ist siehst du in den eigenschaften der gruppe im active directory.
poste ggf. mal den genauen fehler aus dem ereignisprotokoll.
gruß
Vielleicht können wir uns dazu vertagen. Ab Dienstag sitze ich wieder an der Maschine. Kann dann auch mit Screenshots dienen.
So long und Frohe Pfinsten
So long und Frohe Pfinsten
Also nochmal ganz simpel: Kann man einer BENUTZER-Gruppe bestimmte COMPUTER-Einstellungen überhelfen. Wenn ja, wie?
