eastfrisian
Goto Top

GPO für authentifizierte Benutzer und Domänen-benutzer - davon auch der Domänenadmin betroffen?

hallo zusammen,

die lieben gpo's mal wieder... face-smile

ich habe vor einiger zeit angefangen software und rechte/einstellungen über domänenrichtlinien auszurollen. vorerst nur testweise innerhalb einiger abteilungen, jeweils nur für einzelne personen. nun möchte ich das ganze ausweiten.

ziel: jeder benutzer soll diese gpo erhalten. aber um gottes willen nicht das adminkonto,welches auf den servern angemeldet ist (gpo enthält u.a. energieoptionen - sehr ungünstig für server).

wie genau muss ich die gpo denn jetzt verteilen? wenn ich die gpo auf "domänenbenutzer" verrechte, ist davon dann auch der domänenadministrator betroffen, oder tatsächlich nur die "benutzer" ohne admin-rechte? gleiches für authentifizierte !benutzer!???

vielleicht kann mir das jemand erklären, bevor ich da 'nen bock schieße :D

viele grüße

Content-ID: 221667

Url: https://administrator.de/forum/gpo-fuer-authentifizierte-benutzer-und-domaenen-benutzer-davon-auch-der-domaenenadmin-betroffen-221667.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

Mantigul
Mantigul 11.11.2013 aktualisiert um 15:34:21 Uhr
Goto Top
Hallo,

Wenn dein Domänen-Administrator Mitglied der Domänenbenutzer ist, dann zieht die GPO auch dort.

Energieeinstellungen sind aber Computerspezifisch und nicht Benutzerspezifisch. Das Bedeutet, wenn du die GPO auf Domänenbenutzer anwendest und dort nicht die Loopbackfunktion aktiviert hast, dann werden die Einstellungen nicht ziehen.

Tipp: Computereinstellung in eine separate GPO packen und auf eine OU mit den gewünschten Computerkonten greifen lassen. Diese GPO.
Benutzereinstellung auf OUs mit Benutzern.

Gruß Sven


PS: Authentifizierte Benutzer sind alle, die sich über das Active Directory authentifizieren können.
eastfrisian
eastfrisian 11.11.2013 um 15:40:24 Uhr
Goto Top
okay, soweit so gut.

wenn mir die kurze frage hinterher gestattet ist - die administratorkonten sind mitglied der domänenbenutzer. sicherlich nicht ganz ohne grund. können die da ohne weiteres raus? ich würde gern vermeiden das jedes mal software installiert wird, sobald sich irgendwo ein admin mit dem/einem administratorkonto anmeldet.
DerWoWusste
DerWoWusste 11.11.2013 um 15:44:29 Uhr
Goto Top
Moin.

Das Entfernen ist nicht notwendig. Automatische Softwareinstallationen sind computergebunden, normalerweise. Wenn Du sie an Nutzerobjekte bindest und tatsächlich willst, dass es Nutzerbezogen installiert wird, dann nimm lieber die Admins aus der OU der Nutzer raus, oder verwende eine Sicherheitsfilterung, damit die Gruppe "Domänenadministratoren die GPO gar nicht übernehmen darf.