lukeskyrouter
Goto Top

Bestimmten Benutzern einer Domäne erlauben das SIe Ihre Netzwerkeinstellungen än

bestimmten Benutzern einer Domäne erlauben das SIe Ihre Netzwerkeinstellungen ändern dürfen ohne Admin Rechte.


Ich suche eine GPO, womit ich bestimmten Usern erlauben kann bsp Kundendienstler vor Ort, seine Netzwerkadapteroptionen zu ändern ohne Admin Rechte.

Benutzer sollten auf Anfrage so in die Gruppe mit der Gpo gesteckt werden und alles passt.

Content-ID: 669018

Url: https://administrator.de/forum/bestimmten-benutzern-einer-domaene-erlauben-das-sie-ihre-netzwerkeinstellungen-aen-669018.html

Ausgedruckt am: 24.12.2024 um 19:12 Uhr

radiogugu
radiogugu 25.10.2024 aktualisiert um 09:53:23 Uhr
Goto Top
Moin.

Du musst die betreffenden Benutzer*innen in die lokale Gruppe "Netzwerkkonfigurations-Operatoren" hinzufügen.

Network Operators als GPO verteilen

Dann dürfen die Benutzer*innen an den entsprechenden Arbeitsplätzen die Netzwerkeinstellungen ändern.

Gruß
Marc
informatiksurfing
informatiksurfing 25.10.2024 um 09:57:40 Uhr
Goto Top
Hey danke für den Tipp.

Ich finde diese nur leider unter den lokalen Richtlinien nicht.
screenshot 2024-10-25 095712
Michi91
Michi91 25.10.2024 um 10:01:20 Uhr
Goto Top
Das ist auch keine lokale Richtlinie ;) Schau dir mal den Link und den dort abgebildeten Screenshot genauer an face-smile
informatiksurfing
informatiksurfing 25.10.2024 um 10:20:41 Uhr
Goto Top
okay habe die Gruppenrichtlinie 1zu1 so erstellt ich werde trz noch nach UAC gefragt gebe dem User seine daten ein aber werde weiterhin abgewiesen
Michi91
Michi91 25.10.2024 um 10:31:38 Uhr
Goto Top
Okay, hast du lokal geprüft ob der User auch wirklich in der Gruppe ist?
Als User in der Kommandozeile "whoami /groups"
radiogugu
radiogugu 25.10.2024 um 10:37:38 Uhr
Goto Top
Zitat von @informatiksurfing:
okay habe die Gruppenrichtlinie 1zu1 so erstellt ich werde trz noch nach UAC gefragt gebe dem User seine daten ein aber werde weiterhin abgewiesen

Wurde sich ab- und wieder angemeldet?

Für solche Änderungen müssen sich Benutzer*innen meist einmal neu am PC anmelden.

Gruß
Marc
informatiksurfing
informatiksurfing 25.10.2024 aktualisiert um 10:46:55 Uhr
Goto Top
Ja habe ich ich sehe Sie aber nicht die Gruppe müsste doch dann auch NetworkConfigurationOperators heißen oder ?

GpUpdate erfolgreich ausgeführt

GPO ist auch aktiv auf dem Dc habe im sysvol geschaut (auf beiden sogar da wir zwei dc haben)

Die letzte GPO ist Verbindlichkeitsstufe
informatiksurfing
informatiksurfing 25.10.2024 um 10:58:41 Uhr
Goto Top
ja klar mehrmals aber danke für den Tipp

hier nochmal die GPO aufgeführt.

Hier sind 2 User eingetragen einmal Ich der in einer anderen OU Struktur hängt aber Mitglied dieser Gruppe ist .

Und dann den Testuser der auch mit in der OU wo auch die GPO ist hängt.

Aktuell ist die GPO nur auf die OU in der der Testuser ist aktiviert.
screenshot 2024-10-25 105242
pebcak7123
pebcak7123 25.10.2024 um 11:00:54 Uhr
Goto Top
Moin,
die GPO muss in einer OU hängen in der die Computer sind nicht die User
informatiksurfing
informatiksurfing 25.10.2024 um 11:17:17 Uhr
Goto Top
Computer hängt auch drinne
pebcak7123
pebcak7123 25.10.2024 um 11:20:44 Uhr
Goto Top
und der hat sich die GPO auch gezogen und angewendet ? gpresult ?
informatiksurfing
informatiksurfing 25.10.2024 um 11:23:21 Uhr
Goto Top
Wie müsste den dir Gruppe heißen für mich sieht es so aus als wenn nicht.

Die letze GPO die mir angezeigt wird ist Mittlere Verbindungsstufe

Aber auf dem Domänencontroller ist die Gpo aktiv und ein gpupdate /force habe ich auch schon gemacht
informatiksurfing
informatiksurfing 25.10.2024 um 11:29:18 Uhr
Goto Top
Mache ich das ganze direkt lokal am Gerät funktioniert es
informatiksurfing
informatiksurfing 25.10.2024 um 11:53:32 Uhr
Goto Top
Ich habe eine OU erstellt zum Testen.

In dieser befindet sich eine Gruppe KeinAdmin nötig für Netzwerk.

In dieser Gruppe ist mein Rechner drinnen und mein User auf dem die GPO angewandt werden soll.


Dann habe ich die GPO so wie oben zusehen erstellt.

In der GPO hbe ich als Mitglieder dieser Gruppe meine ad Gruppe KeinAdmin eingefügt.

UND diese Gruppe ist Mitglied von Netzwerkkonfigurations-Operatoren.


Die UAC abfrage kommt hoch aber mein Benutzer bleibt weiterhin nicht berechtigt.


Lokal schmeiße ich den User rein und es läuft.
pebcak7123
pebcak7123 25.10.2024 um 12:19:31 Uhr
Goto Top
da ich nicht ganz verstehe was du da machts:
der computer muss in direkt in die ou (oder unter ou) auf die die gpo angewendet wird.
GPO Status darf nicht auf Computer configuration disabled stehen
in der gpo fügst du die gruppe in der dein user ist der lokalen Gruppe Netzwerkkonfigurations-Operatoren hinzu.

auf dem computer einmal als admin gpupdate ausführen
und dann als admin gpresult /h irgendwas.html ausführen und dir den report anschauen
NordicMike
NordicMike 25.10.2024 um 13:14:14 Uhr
Goto Top
@radiogugu das ist ein genderfreies Forum. Bitte so belassen.
radiogugu
radiogugu 25.10.2024 um 15:52:53 Uhr
Goto Top
Zitat von @NordicMike:
@radiogugu das ist ein genderfreies Forum. Bitte so belassen.

Ist notiert, danke für den Hinweis.

Gruß
Marc
radiogugu
radiogugu 25.10.2024 um 17:24:28 Uhr
Goto Top
Zitat von @informatiksurfing:
Dann habe ich die GPO so wie oben zusehen erstellt.

Lade mal ein paar Screenshots der GPO Einstellungen im Detail hier hoch.

So ganz versteht man nicht, wo das klemmen soll.

@LukeSkyrouter: Ist bei dir denn das gewünschte Ziel erreicht?

Gruß
Marc
informatiksurfing
informatiksurfing 28.10.2024 um 07:47:25 Uhr
Goto Top
Alles klar also wir fangen an mit der OU Gruppe

Diese heißt Test_OU und beinhaltet (meinen Test Rechner und Test User). Sollte klar sein.

Kommen wir zur GPO diese wird in TEST_OU angewendet und ist wie folgt konfiguriert.
screenshot 2024-10-28 074625
pebcak7123
pebcak7123 28.10.2024 aktualisiert um 09:38:28 Uhr
Goto Top
@informatiksurfing bist du jetzt eigentlich der TE nur mit anderem namen ?
Vielleicht einfach mal lesen was bisher geschrieben wurde.
Ich nehme mal an du hast nen deutsches Windows:
Neue GPO anlegen und mit der OU verlinken in der dein Testrechner ist
Computerconfiguration - Windows - Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen
1. als Gruppe wählst du Netzwerkkonfigurations-Operatoren aus.
2. als Mitglieder wählst du die Gruppe in der dein Testuser ist ( Nicht die OU , OUs sind keine Gruppen ! )
Fertig!
informatiksurfing
informatiksurfing 29.10.2024 um 09:32:05 Uhr
Goto Top
Ich habe nun alles so gemacht leider klappt es immer noch nicht.

Ich habe mich als User in die Ad gruppe Netzwerk_Test gemacht.

und in der GPO diese auch als Gruppe angegeben die Mitglied bei Netzwerkoperation.... sein soll.

Die Gpo wird auch in der OU angewendet in der die Gruppe ist.

Keine Ahnung wieso es nicht funktioniert
NordicMike
NordicMike 29.10.2024 um 10:30:34 Uhr
Goto Top
Als Test solltest du auf den Client schauen ob die Gruppe Netzwerk_Test wirklich bei den Netzwerk Operatoren vorhanden ist / zu sehen ist. Dann muss sich der User nochmal ab und neu anmelden, bevor es fruchtet. Beim Ändern der Netzwerkeinstellungen kommt die Frage nach einem Admin Konto trotzdem, nur kann man sich dann nochmal mit seinem Benutzerkonto authentifizieren und man kann dann was darin ändern.
informatiksurfing
informatiksurfing 30.10.2024 um 13:37:42 Uhr
Goto Top
Hier nochmal die aktuelle Konfig
Wäre lieb wenn jemand bei dem es funktioniert mir weiterhelfen könnte.

Die GPO ist im Test_OU aktiviert
Der User und die Gruppe in der der User ist sind ebenfalls unter Test_ou

Und wie die GPO konfiguriert ist kann man dem Bild entnehmen ich sehe den Fehler nicht.
screenshot 2024-10-30 132531
screenshot 2024-10-30 133307
screenshot 2024-10-30 132624
informatiksurfing
informatiksurfing 30.10.2024 um 13:40:08 Uhr
Goto Top
ist nicht in der lokalen Gruppe drinne
pebcak7123
pebcak7123 30.10.2024 um 14:10:16 Uhr
Goto Top
Was soll das die ganze zeit mit der "NetworkConfigurationOperators" Gruppe, so heisst die relevante lokale (!) Gruppe nur bei nem englischen Windows ? Und wozu sind der user und die sicherheitsgruppe in der Ou ?
Das "Diese Gruppe ist Mitglied von .." brauchst du auch nicht.
pebcak7123
pebcak7123 30.10.2024 um 14:57:31 Uhr
Goto Top
Oh und mal als freundlicher hinweis: vielleicht schwärzt du deine screenshots etwas besser wenn du nicht willst das jeder weis wie du heisst und in welcher stadt du für welche firma arbeitest...