GPO - Konflikt zwischen "Lokal anmelden ." und "eingeschränkte Gruppen" ?
Hallo miteinander,
allem Anschein nach widersprechen/behindern sich in meiner Domäne 2 Gruppenrichtlinien bezüglich lokaler Anmeldemöglichkeiten - anders kann ich mir es nicht erklären
und zwar administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten"(übergreordnete OU) vs Sicherheitseinstellungen:"Eingeschränkte Gruppe"(untergeordnete OU)
Phänomen:
Computer in denen bestimmten AD-Gruppen das lokale Anmelden verweigert wird, da funktioniert dies auch - in anderen funktionierte es nicht; Nach einigen gpresults etc brachte nur ein direkter Vergleich der GPO Vererbung einen Indiiz zur Fehlerquelle -> OUs in denen via "Eingeschränkte Gruppen" eine extra Gruppe für lokale Admins definiert ist, dort funktioniert das Lokale Anmelden einer EIGENTLICH verweigerten Usergruppe DOCH, obwohl es laut gpresult erfolgreich angewandt war!
Wohlbemerkt: Die *Verbots-Gruppe* ist eine normale UserGruppe (Domänenbenutzer!) ohne Adminrechte !
Erst nach deaktivierte Verknüpfung (Eingeschränkte Gruppen) funktionierte dies auch in diesen OUs.
Eine mögliche Lösung war bisher *administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten* zu forcieren (up>down).
Aber WARUM das so ist ?? - Hat hier jemand dafür eine logische Erklärung? - Ich möchte ungern mit Force an dieser Stelle arbeiten...
Eine grobe Übersicht der 2 Komponenten siehe unten
(OU=*Alle Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien/Zuweisen von Benutzerrechten
"Lokal anmelden verweigern" (bestimmte Membergruppe)
(OU=*untergeordne Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Eingeschränkte Gruppen
Gruppe Mitglieder / Mitglied von
VORDEFINIERT\Administratoren
Beispielgruppe\Administratoren
MfG
Kunst
allem Anschein nach widersprechen/behindern sich in meiner Domäne 2 Gruppenrichtlinien bezüglich lokaler Anmeldemöglichkeiten - anders kann ich mir es nicht erklären
und zwar administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten"(übergreordnete OU) vs Sicherheitseinstellungen:"Eingeschränkte Gruppe"(untergeordnete OU)
Phänomen:
Computer in denen bestimmten AD-Gruppen das lokale Anmelden verweigert wird, da funktioniert dies auch - in anderen funktionierte es nicht; Nach einigen gpresults etc brachte nur ein direkter Vergleich der GPO Vererbung einen Indiiz zur Fehlerquelle -> OUs in denen via "Eingeschränkte Gruppen" eine extra Gruppe für lokale Admins definiert ist, dort funktioniert das Lokale Anmelden einer EIGENTLICH verweigerten Usergruppe DOCH, obwohl es laut gpresult erfolgreich angewandt war!
Wohlbemerkt: Die *Verbots-Gruppe* ist eine normale UserGruppe (Domänenbenutzer!) ohne Adminrechte !
Erst nach deaktivierte Verknüpfung (Eingeschränkte Gruppen) funktionierte dies auch in diesen OUs.
Eine mögliche Lösung war bisher *administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten* zu forcieren (up>down).
Aber WARUM das so ist ?? - Hat hier jemand dafür eine logische Erklärung? - Ich möchte ungern mit Force an dieser Stelle arbeiten...
Eine grobe Übersicht der 2 Komponenten siehe unten
(OU=*Alle Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien/Zuweisen von Benutzerrechten
"Lokal anmelden verweigern" (bestimmte Membergruppe)
(OU=*untergeordne Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Eingeschränkte Gruppen
Gruppe Mitglieder / Mitglied von
VORDEFINIERT\Administratoren
Beispielgruppe\Administratoren
MfG
Kunst
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 576692
Url: https://administrator.de/forum/gpo-konflikt-zwischen-lokal-anmelden-und-eingeschraenkte-gruppen-576692.html
Ausgedruckt am: 22.04.2025 um 00:04 Uhr
8 Kommentare
Neuester Kommentar
Ja, können ja. Aber wenn wir hier von Anmeldung eines Benutzers sprechen und Du selbst diese ganzen Zusammenhänge herstellst, dann kann ich doch davon ausgehen, dass der betreffende Benutzer in beiden Gruppen ist. Jene, der das lokale Anmelden verweigert wurde und jener anderen, welche Mitglied der lokalen Administratoren ist. Wenn ja, dann überwiegt hier die Mitgliedschaft des Benutzers zu den lokalen Administratoren. Wenn nein, wovon reden wir dann überhaupt, warum stellst Du diese dann offenbar nicht bestehenden Zusammenhänge her?
Also: Was genau ist Phase?
Was passiert wann oder passiert nicht?
Was hast Du erwartet, das Deiner Meinung nach passieren sollte?
Also: Was genau ist Phase?
Was passiert wann oder passiert nicht?
Was hast Du erwartet, das Deiner Meinung nach passieren sollte?
Ich wollte (noch) nicht wissen, was Du da wo und wie an GPO's eingerichtet hast. Aber egal.
Und in dieser genannten extra GPO steht dann auch zusätzlich zu den "Eingeschränkten Gruppen" nichts Gegenteiliges bzgl. "Lokal anmelden verweigern"?
Führe doch mal auf einem dieser Computer RSOP.msc aus. Unter der Anmeldung eines Benutzers, welcher Mitglied der lokalen Gruppe "Administratoren" ist.
Dort solltest Du genau sehen, welche Richtlinien der Computer anwendet und aus welchen GPO diese stammen.
- die GPO "Lokal anmelden verweigert (für eine bestimmte Gruppe)" wird von einigen Systemen ignoriert
Was heißt das? Wird die GPO angewendet oder nicht? Erfolgt der Eintrag in "Lokal anmelden verweigern" oder nicht? Das ist interessant zu wissen.- von anderen nicht - einziger Unterschied: Es gibt dort zusätzlich die GPO "Eingeschränkte Gruppen"
"Es gibt die GPO" oder nicht doch: Die Computer wenden zusätzlich eine GPO namens "Eingeschränkte Gruppen" an? Oder eine GPO mit irgendeinem Namen welche aber eine Richtline für eine "Eingeschränkte Gruppe" enthält?Und in dieser genannten extra GPO steht dann auch zusätzlich zu den "Eingeschränkten Gruppen" nichts Gegenteiliges bzgl. "Lokal anmelden verweigern"?
Führe doch mal auf einem dieser Computer RSOP.msc aus. Unter der Anmeldung eines Benutzers, welcher Mitglied der lokalen Gruppe "Administratoren" ist.
Dort solltest Du genau sehen, welche Richtlinien der Computer anwendet und aus welchen GPO diese stammen.