bioperiodik
Goto Top

Eingeschränkte Gruppen - zwei grundlegende Fragen

Guten Morgen,

Ich hab zwei Fragen zum Umgang mit der Funktion eingeschränkten Gruppen in den Gruppenrichtlinien.

Die Anleitung von http://www.gruppenrichtlinien.de/index.html?/howto/Zentrale_Vergabe_lok ... finde ich sehr gut und ausführlich erklärt.

Allerdings bleiben für mich zwei Fragen offen:

1. Es geht um das Beispiel 3 um den letzen Satz:

Hier wird von einer "lokalen Gruppe" und einer "Domänengruppe" geredet.
Lieg ich richtig damit das mit einer "lokalen Gruppe" eine lokale (in Domäne) Gruppe gemeint ist?
Und mit "Domänengruppe" einfach eine globale Gruppe?

Das heist dann wenn ich einen Rechner habe in dem ein Benutzer zur lokalen Gruppe Administratoren gehört, bleibt er trotz der anwendung der eingeschränkten Rechte in dieser Gruppe und die Benutzer aus der hinzugefügten Gruppe werden einfach hinzugefügt?

2. Was passiert wenn ich die eingeschränkten Gruppen wieder entferne?

Werden dann automatisch wieder die Grundeinstellungen hergestellt?
Oder bleiben die Rechte dann einfach leer?

Vielen Dank schonmal im Vorraus und noch einen schönen Tag
Sebastian

517cf506b1e1377d84db9c77bd944671

Content-ID: 137268

Url: https://administrator.de/forum/eingeschraenkte-gruppen-zwei-grundlegende-fragen-137268.html

Ausgedruckt am: 26.12.2024 um 07:12 Uhr

2hard4you
2hard4you 03.03.2010 um 09:31:18 Uhr
Goto Top
Moin,

meist ist eine lokale Gruppe auf den jeweiligen Server eingerichtet worden.

Nach Löschung von Rechten fehlen diese einfach, da gibt es keinen Automatismus, der irgendwas wiederherstellt - sind ja nur wissende Menschen, die wissen, was sie tun *g*

Gruß

24
bioperiodik
bioperiodik 03.03.2010 um 09:42:09 Uhr
Goto Top
Nachtrag:

Ich glaub ich mach besser mal ein Beispiel was ich vorhabe:

Ziel: IT-Mitarbeiter Adminrechte auf allen Rechner in der Domäne gewähren

Bisherige Vorstellung:
Eine Gruppe im Active Directory erstellen (Bsp.: LokaleAdmins), dieser Gruppe die entsprechenden IT-Mitarbeiter hinzufügen.
Diese Gruppe mit Hilfe der eingeschränkten Rechte der lokalen (auf den einzelnen Rechner vorhandenen Gruppe) Administratoren hinzufügen.

Damit soll erreicht werden das die entsprechenden IT-Mitarbeiter zwar auf den Rechner volle Adminrechte haben, aber keine Rechte in der Domäne (also Gruppen/Benutzer erstellen im Active Directory) haben.

Ist dies so Umsetzbar?

Hierfür würde ich dann einfach die Gruppen LokaleAdmins und Domänen-Admins aus dem AD der lokalen Gruppe Administratoren hinzufügen, geht das so?
Wie kann ich erreichen das die schon vorhandenen lokalen Gruppen nicht überschrieben werden sondern die neu hinzugefügen Gruppen einfach nur "drangehängt" werden?

Hoffe es ist klar was ich erreichen will ;)

PS: noch eine weitere Frage: Kann ich auch einer selbst erstellen lokalen Gruppe auf einem Rechner via eingeschränkten Rechten eine Gruppe aus dem AD zuweisen?
DerWoWusste
DerWoWusste 03.03.2010 um 23:04:56 Uhr
Goto Top
Ja, das ist so umsetzbar. Die Domänenadmins sind eh in der Gruppe der lokalen Admins, die brauchen nicht erneut rein. Auch Deine letzte Frage ist möglich. Nimm Dir eine Test-OU und führ's durch - so sind Missverständnisse schnell ausgeräumt.
bioperiodik
bioperiodik 04.03.2010 um 10:56:28 Uhr
Goto Top
Hab ein kleines Problem:

Wenn ich das Snaping mit gpedit.msc starte und unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen bin, hab ich keinen Order "Eingeschränkte Gruppen", woran kann das liegen?
DerWoWusste
DerWoWusste 04.03.2010 um 11:13:36 Uhr
Goto Top
Du musst das am Domänencontroller machen und nicht über gpedit.msc, sondern über die gpmc.
bioperiodik
bioperiodik 04.03.2010 um 13:44:37 Uhr
Goto Top
Hallo,

Ich bin auf dem Domänencontroller, wenn ich allerdings gpmc.msc öffne, hilft mir das nicht weiter, da ich hier auch keine "Eingeschränkten Gruppen" finden.
DerWoWusste
DerWoWusste 04.03.2010 um 14:15:36 Uhr
Goto Top
Hast Du mehrere DCs? Ich kenne das Phänomen (->es fehlt etwas unter Sicherheitseinstellungen) genau dann, wenn man zwei hat und der eine nicht erreichbar ist.
bioperiodik
bioperiodik 04.03.2010 um 14:21:52 Uhr
Goto Top
Ja, wir haben zwei DCs laufen!
Ich bin mir eigentlich auch sicher das dich die Option vor kurzem noch auf einem der beiden DCs gesehen hab, aber jetzt ist es nichtmehr auffindbar, weist du wie man das lösen kann?

Danke schonmal für die Hilfe
DerWoWusste
DerWoWusste 04.03.2010 um 14:28:09 Uhr
Goto Top
Versuch es zunächst mal auf dem anderen DC. Bei mir löste es sich von alleine, nachdem der andere DC wieder erreichbar war (er war nicht erreichbar, da nur zu Testzwecken vorhanden in einer vmware Testdomäne). Keine weitere Idee.
bioperiodik
bioperiodik 04.03.2010 um 19:48:18 Uhr
Goto Top
also irgendwie komm ich damit nicht wirklich weiter.
Die Option Eingeschränkte Gruppen ist nirgends zu finden.

Trotzdem auf jeden Fall viele Dank für die Hilfe, vielleicht weis ja noch jemand anders Rat face-smile

Gruß Seb
bioperiodik
bioperiodik 08.03.2010 um 08:01:47 Uhr
Goto Top
Guten Morgen liebe Gemeinde,

Da ich immer noch nicht weiter weis, wende ich mich nochmal an euch und hoffe das jemand einen kleinen Tipp hat.

Der Stand:
Wir haben zwei DCs laufen (Windows 2003 R2 Enterprise Edition mit SP2).
In der MMC in der man die Option "Eingeschränkte Gruppen" finden sollte, ist nichts zu sehen.

Weis jemand woran das liegen könnte?

Danke schonmal und eine schöne Woche
Sebastian
DerWoWusste
DerWoWusste 08.03.2010 um 10:09:47 Uhr
Goto Top
Lad nochmal einen Screenshot der mmc hoch.
bioperiodik
bioperiodik 08.03.2010 um 13:55:01 Uhr
Goto Top
öhm...doofe Frage, aber wie kann ich hier ein Screenshot hochladen?
DerWoWusste
DerWoWusste 08.03.2010 um 17:27:57 Uhr
Goto Top
Du musst Deinen ersten Beitrag editieren - dort gibt's die Option Bilder hinzufügen.
bioperiodik
bioperiodik 08.03.2010 um 18:39:33 Uhr
Goto Top
Ah ok, wieder was gelernt! ;) Danke

So, das Bild hab ich oben eingefügt, hoffe es hilft weiter
bioperiodik
bioperiodik 22.03.2010 um 08:01:44 Uhr
Goto Top
Guten Morgen,

Ich schieb das Thema nochmal hoch da es wirklich wichtig ist!

Weis jemand woran es liegen könnte das die Option "Eingeschränkte Gruppen" bei uns nicht verfügbar ist?
DerWoWusste
DerWoWusste 22.03.2010 um 09:12:47 Uhr
Goto Top
Dein Screenshot zeigt, dass Du gpedit.msc und nicht die GPMC verwendest - bitte mach einen Screenshot der GPMC.
bioperiodik
bioperiodik 22.03.2010 um 09:23:11 Uhr
Goto Top
Hallo,

Sorry, hab nun den richtigen Screenshot eingefügt!
DerWoWusste
DerWoWusste 22.03.2010 um 09:32:26 Uhr
Goto Top
Nein, hast Du nicht ;)
Füg bitte einen Screenshot der Stelle ein, um die es geht.
bioperiodik
bioperiodik 22.03.2010 um 09:34:34 Uhr
Goto Top
Hm...sorry wenn ich mich bissel blöd anstell....aber welche Stelle wäre das denn? face-sad
DerWoWusste
DerWoWusste 22.03.2010 um 09:56:43 Uhr
Goto Top
Die Stelle, wo Du die eingeschränkten Gruppen erwarten würdest. Also Policy öffnen, um die es geht und dort zu Comp.-Konfig - Policies - Windowsesinstellungen - Sicherheitseinstellungen
bioperiodik
bioperiodik 22.03.2010 um 12:02:42 Uhr
Goto Top
Guten Tag,

So das Problem wäre gelöst, dank der geduldigen Hilfe von DerWoWusste,
Herlichen Dank nochmal!

Gruß
Sebastian