5
GPO für ANMELDEN ALS DIENST lokal individuell erweitern
Hallo,
wir haben eine GPIO, die ANMELDEN als Dienst zentral festlegt.
Für eine Applikation muss diese Liste nun individuell erweitert werden, denn "NT Service\Irgendwas" kann ich auf dem Domänencontroller (2008R2 / 2012R2) leider nicht definieren. Wenn aber die GPO aktiv ist, dann kann ich diese Einträge lokal nur sehen, aber nicht bearbeiten.
Wie kann man es doch noch realisieren, dass die Definition klappt?
Beste Grüße
Manfred
wir haben eine GPIO, die ANMELDEN als Dienst zentral festlegt.
Für eine Applikation muss diese Liste nun individuell erweitert werden, denn "NT Service\Irgendwas" kann ich auf dem Domänencontroller (2008R2 / 2012R2) leider nicht definieren. Wenn aber die GPO aktiv ist, dann kann ich diese Einträge lokal nur sehen, aber nicht bearbeiten.
Wie kann man es doch noch realisieren, dass die Definition klappt?
Beste Grüße
Manfred
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231955
Url: https://administrator.de/contentid/231955
Printed on: April 24, 2024 at 03:04 o'clock
5 Comments
Latest comment
Was willst Du?
Du willst wegen einer Applikation einem weiteren User das Rechte "Anmelden als Dienst" erteilen?
Und wo ist da das Problem?
E.
Du willst wegen einer Applikation einem weiteren User das Rechte "Anmelden als Dienst" erteilen?
Und wo ist da das Problem?
E.
Wie beschrieben, auf ein paar Clients muss der dort lokal definierte "User" NT SERVICE\IRGENDWAS das Recht haben, sich als Dienst anzumelden. Dieser Dienst wird in diesem Fall von einer SQL2012 Instanz erzeugt und ist auf dem Domänencontroller so nicht verfügbar, sondern nur auf dem jeweiligen Client. Somit kann ich ihn auf dem Domänencontroller auch nicht auswählen.
Versuch mal das:
Vom Client aus auf den Server mit der GPO-Verwaltung über C$ zugreifen. Dann darüber "gpmc.msc" starten und GPO bearbeiten.
\\server\c$\windows\system32\gpmc.msc
E.
Vom Client aus auf den Server mit der GPO-Verwaltung über C$ zugreifen. Dann darüber "gpmc.msc" starten und GPO bearbeiten.
\\server\c$\windows\system32\gpmc.msc
E.
emeriks Idee könnte gehen. Sonst würde es über RSAT gehen, was emerik vorhat.
Auch bezweifle ich, dass es nicht ausreicht, einfach auf dem DC den Namen einzutragen, ohne das Namensbrowsing zu benutzen.
Auch bezweifle ich, dass es nicht ausreicht, einfach auf dem DC den Namen einzutragen, ohne das Namensbrowsing zu benutzen.
Wenn es sich um generationsgleiche Betriebssystemversionen handelt, dann funktioniert das definitiv, weil GPMC nur die Standard-GPO-API benutzt, welche auf jedem Computer mit GPO-Client vorhanden sind. Ich habe es zwar nochnicht versucht, aber wahrscheinlich würde es auch reichen, die MSC zu kopieren. Ob das lizenztechnisch erlaubt ist, weiß ich nicht.
E.
E.
