senior-ding-dong
Goto Top

Domänen User von lokaler Gruppenrichtlinie ausnehmen

Guten Morgen!

Ich habe eine Frage zu den lokalen Gruppenrichtlineneditor auf einem Server 2008R2!

Auf unseren Terminalserver habe ich mit Hilfe der lokalen GPU, bestimmte lokale Laufwerke ausblenden lassen. Jetzt sind für die TS-User keine lokalen Laufwerke mehr ersichtlich - so wie es sein soll. Allerdings greift die Richtlinie auch auf dem Administrationsuser des Server zu. Ich weis wie ich bei einer globalen GPO User ausnehmen kann, aber ich verwende noch einen WS2003 als Domänen Controler und der soll bald (???) auf 2008R2 umgestellt werden. Bis dahin möchte ich mit der lokalen Richtline als Übergangslösung arbeiten (Nur diese eine Regel). Kennt also jemand eine Möglichkeit, einen User (bsp. domäne\user) von der lokalen Gruppenrichtline rauszunehmen?

Besten Dank

Marvin

Content-ID: 172195

Url: https://administrator.de/forum/domaenen-user-von-lokaler-gruppenrichtlinie-ausnehmen-172195.html

Ausgedruckt am: 27.12.2024 um 13:12 Uhr

Xboxer
Xboxer 29.08.2011 um 10:00:03 Uhr
Goto Top
Guten Morgen,

warum nimmst du eine Lokale Gruppenrichtlinie? Meines Wissens nach, gibt es keien Möglichkeit die lokale Richtlinie nur auf bestimmte Gruppen/Benutzer zu beschränken.

Ich habe schon einen Verdacht, allerdings könnte es ja auch einen Grund geben, warum das so gemacht wurde.

Gruß
Christoph
101238
101238 29.08.2011 um 10:17:19 Uhr
Goto Top
Moin,

nach meinen Erfahrungen (Server2003) kann bei einem Gruppenrichtlinienobjekt die Sicherheitsfilterung für die Benutzersteuerung genommen werden.
Standardmäßig stehen drin: "Authentifizierte Benutzer", "Administrator" .

Nun kann man an dieser Stelle die User festlegen für die das GPO gelten soll. Funktioniert bei uns gut. Desweiteren können unter dem Reiter "Delegierung" "Erweitert" noch die Sicherheitseinstellungen für jeden User festegelegt werden.

Viel Spass
Xboxer
Xboxer 29.08.2011 um 10:36:25 Uhr
Goto Top
Hi,

das ist soweit korrekt, allerdings funktioniert dies nicht mit lokale Richtlinien!

Gruß
Christoph
101238
101238 29.08.2011 um 11:31:45 Uhr
Goto Top
Hi Xboxer,

natürlich hast du recht, aber vielleicht kann ja Senior-ding-dong einen anderen Weg gehen um sein Problem zu lösen.

Gruß
60730
60730 29.08.2011 um 17:15:55 Uhr
Goto Top
moin,

[1/2OT]
Jetzt sind für die TS-User keine lokalen Laufwerke mehr ersichtlich - so wie es sein soll.
Nunja- ich formuliere deine Zeile etwas anders - so wie es richtigerweise lauten muß:
Jetzt sind für die TS-User im Explorer keine lokalen Laufwerke mehr ersichtlich - jedoch funktioniert jeder andere Weg, um auf die lokalen Laufwerke zu kommen.
[/1/2OT]

  • Von daher - definiere doch denn Sinn von so wie es sein soll..

Gruß
Senior-Ding-Dong
Senior-Ding-Dong 30.08.2011 um 07:47:01 Uhr
Goto Top
Morgen!

Danke für die Antworten! Also zu TimoBeil kann ich nur sagen, dass deine Formulierung natürlich die Richtige ist. Grundsätzlich funktioniert auch jeder andere Weg, aber das ist nicht weiter schlimm für mich, da die Hintergründe meiner Frage wo anders liegen. Ich dachte mir schon, dass man in den lokalen Richtlinien kleine expliziten Berechtigungen vergeben kann. Ich werde mich wohl mit der globalen Richtlinie auseinander setzen müssen.

Danke
60730
60730 30.08.2011 um 09:45:46 Uhr
Goto Top
Moin,

da die Hintergründe meiner Frage wo anders liegen.

bf9fce802dc6113b5263e02576c5ba38

Da will man helfen und kriegt so eine Antwort....

Egal ob nun Global oder Lokale - wenn du das machst, dann sehen die User nur im Explorer die Laufwerke nicht - bei jedem Programm, dass einen öffnen, speichern oder import Dialog anbietet - sieht der User diese wieder.

Nicht zu vergessen, die schwarze Box mit den weissen Buchstaben.

Gruß
dimcho
dimcho 30.08.2011 um 11:39:32 Uhr
Goto Top
Hallo Marvin,

versuch biite das: gehe bitte auf GPO--> Delegierung-->User oder Gruppe auswählen-->unten rechts auf Erweitern--> noch mal User bzw.Gruppe auswählen oder hinzüfugen--> Gruppenrichtlinie übernehmen " Verweigern" ankreuzen--> übernehmen. So wird der User oder die Gruppe von der GPO rausgenomen.
ich kann dir auch screenshots senden, falls du es nicht hinkriegst
Grüße Dimo
DerWoWusste
DerWoWusste 02.09.2011 um 16:09:54 Uhr
Goto Top