GPO Lokal einstellen
Ich habe einen kleinen "Server" aufgesezt, er besteht aus einem Notebook ohne display, quasi ausrangiert und drauf ist Win XP prof..
Mein Problem ist nun: Ich möchte dort mehr als nur einen Remotedesktop-Benutzer anlegen der dann Zugriff auf bestimmte Sachen haben soll um bestimmte Dienste zu nutzen (für einen Webserver, mysql, oder was mir noch so einfällt). Allerdings sollte derjenige nicht zu viel verändern dürfen, weniger aus dem Grund das ich ihm nicht vertraue sondern eher weil ich das teils zu Übungs- und testzwecken benutzen möchte.
Kurzfassung: Ich möchte für verschiedene Lokale Benutzer ohne einen "richtigen" Server verschiedene Gruppenrichtlinien festlegen.
Erstmal die Frage ob das Überhaupt geht? Ich fürchte es geht nicht.
Wenn es nicht gehen sollte, geht es das ich einen Server auf einem Rechner im Netzwerk in einer VM aufsetze und von dort aus die Richtlinien festlege?
Ich hoffe ihr könnt helfen.
lg
Mein Problem ist nun: Ich möchte dort mehr als nur einen Remotedesktop-Benutzer anlegen der dann Zugriff auf bestimmte Sachen haben soll um bestimmte Dienste zu nutzen (für einen Webserver, mysql, oder was mir noch so einfällt). Allerdings sollte derjenige nicht zu viel verändern dürfen, weniger aus dem Grund das ich ihm nicht vertraue sondern eher weil ich das teils zu Übungs- und testzwecken benutzen möchte.
Kurzfassung: Ich möchte für verschiedene Lokale Benutzer ohne einen "richtigen" Server verschiedene Gruppenrichtlinien festlegen.
Erstmal die Frage ob das Überhaupt geht? Ich fürchte es geht nicht.
Wenn es nicht gehen sollte, geht es das ich einen Server auf einem Rechner im Netzwerk in einer VM aufsetze und von dort aus die Richtlinien festlege?
Ich hoffe ihr könnt helfen.
lg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125343
Url: https://administrator.de/forum/gpo-lokal-einstellen-125343.html
Ausgedruckt am: 28.12.2024 um 17:12 Uhr
24 Kommentare
Neuester Kommentar
Hallo,
was du suchst ist ein Terminal Server. Auf einem normalen Windows Server ist die Anzahl der gleichzeitigen Nutzer auf 2 Remote Verbindungen beschränkt. Gruppenrichtlinien greifen aber sowohl mit als auch ohne TS. Gruppenrichtlinien werden normalerweise über einen Domaincontroller mit AD bestimmt. Du kannst aber auch die lokalen Gruppenrichtlinien mit gpedit.msc definieren. Das Problem ist halt die Beschränkung auf 2 Zugriffe. Dass du eine VM hochziehst ändert nichts daran.
mfG
was du suchst ist ein Terminal Server. Auf einem normalen Windows Server ist die Anzahl der gleichzeitigen Nutzer auf 2 Remote Verbindungen beschränkt. Gruppenrichtlinien greifen aber sowohl mit als auch ohne TS. Gruppenrichtlinien werden normalerweise über einen Domaincontroller mit AD bestimmt. Du kannst aber auch die lokalen Gruppenrichtlinien mit gpedit.msc definieren. Das Problem ist halt die Beschränkung auf 2 Zugriffe. Dass du eine VM hochziehst ändert nichts daran.
mfG
Also mir ist nicht ganz klar was du machen willst und ich glaube damit bin ich nicht alleine
Es sollen mehrere Benutzer GLEICHZEITIG auf den XP Pro "Server" zugreifen via RDP?
Falls das so ist dann: Nein, nicht möglich!
Für verschiedene Benutzer verschiedene Gruppenrichtlinien?
Nein, nicht möglich! Bzw. Jaein es soll mit einem kleinen Trick möglich sein via Sicherheitseinstellungen.
Wobei ich glaube, dass das nur für maximal EINEN Nutzer geht bzw. dann für jeden Nutzer greift.
Also: Nein, nicht möglich!
Du benötigst dafür einen Server mit AD Struktur - sonst wird das nichts. Wo der Server installiert ist spielt letztenendes keine Rolle, aber beim Anmelden der Benutzer muss er aktiv sein.
LG
Es sollen mehrere Benutzer GLEICHZEITIG auf den XP Pro "Server" zugreifen via RDP?
Falls das so ist dann: Nein, nicht möglich!
Für verschiedene Benutzer verschiedene Gruppenrichtlinien?
Nein, nicht möglich! Bzw. Jaein es soll mit einem kleinen Trick möglich sein via Sicherheitseinstellungen.
Wobei ich glaube, dass das nur für maximal EINEN Nutzer geht bzw. dann für jeden Nutzer greift.
Also: Nein, nicht möglich!
Du benötigst dafür einen Server mit AD Struktur - sonst wird das nichts. Wo der Server installiert ist spielt letztenendes keine Rolle, aber beim Anmelden der Benutzer muss er aktiv sein.
LG
/* BISSEL OFFTOPIC
Mir stellt sich da gerade eine Frage. Wenn du dich mit jedem User einzeln einloggst und dann jeweils die Benutzerrichtlinien per gpedit.msc änders müsste sich das doch auf jeden einzelnen Benutzer, unabhängig für die anderen Benutzer beziehen? Soweit ich weiss gelten die lokalen Benutzerichtlinien ja für dem Current_User, oder nicht? Ich habe hier gerade keine Möglichkeit das zu testen.
*/
Mir stellt sich da gerade eine Frage. Wenn du dich mit jedem User einzeln einloggst und dann jeweils die Benutzerrichtlinien per gpedit.msc änders müsste sich das doch auf jeden einzelnen Benutzer, unabhängig für die anderen Benutzer beziehen? Soweit ich weiss gelten die lokalen Benutzerichtlinien ja für dem Current_User, oder nicht? Ich habe hier gerade keine Möglichkeit das zu testen.
*/
Nein, auf einem normalen XP Pro Pc beziehen sich die GPO die per gpedit.msc editiert werden auf ALLE lokalen Benutzer.
Wir haben das mal gestestet und wir hatten Leute dabei die es geschafft haben sich lokal auzusperren Da hilft dann oftmals nur noch eine Neuinstallation von Windows.
Die einzige Möglichkeit den lokalen Admin davon raus zu halten ist, dass man ihm die Leseberechtigungen für die Gruppenrichtliniendatei entzieht. Dann kann dieser sie nicht mehr lesen und somit nicht verarbeiten. Das kann man natürlich für jeden beliebigen Nutzer machen, aber es gibt nur eine lokale Richtlinie, sprich nur eine Datei.
LG
Wir haben das mal gestestet und wir hatten Leute dabei die es geschafft haben sich lokal auzusperren Da hilft dann oftmals nur noch eine Neuinstallation von Windows.
Die einzige Möglichkeit den lokalen Admin davon raus zu halten ist, dass man ihm die Leseberechtigungen für die Gruppenrichtliniendatei entzieht. Dann kann dieser sie nicht mehr lesen und somit nicht verarbeiten. Das kann man natürlich für jeden beliebigen Nutzer machen, aber es gibt nur eine lokale Richtlinie, sprich nur eine Datei.
LG
Zitat von @dq28121989:
is doch nicht off topic ... genau die frage habe ich mir auch gestellt
wollte aber nich weiter testen da ich schon 2 ordner auf der platte
habe aus denen ich mich ausgesperrt habe :P
is doch nicht off topic ... genau die frage habe ich mir auch gestellt
wollte aber nich weiter testen da ich schon 2 ordner auf der platte
habe aus denen ich mich ausgesperrt habe :P
Ausgesperrt? Man kann sich nicht aus Ordnern aussperren Man kann sich nur ... zu ... anstellen da wieder zugriff zu bekommen.
Du gehst auf Sicherheit und trägst dort den Benutzer wieder ein. Hierzu musst du allerdings Administratorberechtigungen haben.
Bekommst du hier eine Fehlermeldung, wenn du auf Sicherheit gehst?
Dann klick auf erweitert und auf Besitzer. Dort sagst du dann Besitz übernehmen für den Ausgewählten Benutzer und auch Unterordner falls vorhanden.
Dann klickst du ok ...
Anschließend öffnest du noch mal Sicherheit und dann kannst du dort deinen Benutzer eintragen.
lg
Wieso keine Treiber?
Dann wirst du für den 2003er erst recht keine Treiber bekommen.
Ich verstehe nicht, warum du dir nicht einen simplen PC zusammenbaust. Das kostet heute wirklich nicht mehr die Welt.
Da kannst du dann den 2000er installieren bzw.:
WAS genau soll dein Vorhaben eigentlich bezwecken?
Du wirst um nen Windowsserver nicht drumrum kommen, wenn du mit GPO arbeiten willst...
lg
Dann wirst du für den 2003er erst recht keine Treiber bekommen.
Ich verstehe nicht, warum du dir nicht einen simplen PC zusammenbaust. Das kostet heute wirklich nicht mehr die Welt.
Da kannst du dann den 2000er installieren bzw.:
WAS genau soll dein Vorhaben eigentlich bezwecken?
Du wirst um nen Windowsserver nicht drumrum kommen, wenn du mit GPO arbeiten willst...
lg
Wie ich bereits schrieb ... wenn du dir die Recht so gibst wie ich es oben geschrieben habe, hast du auch wieder Zugriff. Es ist NICHT möglich sich von einem Ordner auszusperren, wenn du Adminrechte hast.
Nichts für Ungut, aber du solltest anfangen mit solchen banalen Dingen unter Windows, bevor du zu den Vorhaben kommst die du machen willst.
lg
Nichts für Ungut, aber du solltest anfangen mit solchen banalen Dingen unter Windows, bevor du zu den Vorhaben kommst die du machen willst.
lg
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_Standalo ...
http://faq.lauer-consulting.net/faq/gruppenrichtlinie-auch-ohne-server- ...
http://www.searchsecurity.de/themenbereiche/plattformsicherheit/os-sich ...
Wie es aussieht kannst du den Spaß mit Windows Vista realisieren, da Windows Vista wohl multiple GPOs verwaltet.
Kann es aber hier nicht testen, weil ich Vista nicht nutze ...
Unter W7 müsste es auch so sein...ich schaus mir mal an.
LG
Hab noch was gefunden:
Unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten
kannst du einige Rechte zuweisen um z.b. einem Benutzer mehr Rechte zu geben.
http://faq.lauer-consulting.net/faq/gruppenrichtlinie-auch-ohne-server- ...
http://www.searchsecurity.de/themenbereiche/plattformsicherheit/os-sich ...
Wie es aussieht kannst du den Spaß mit Windows Vista realisieren, da Windows Vista wohl multiple GPOs verwaltet.
Kann es aber hier nicht testen, weil ich Vista nicht nutze ...
Unter W7 müsste es auch so sein...ich schaus mir mal an.
LG
Hab noch was gefunden:
Unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten
kannst du einige Rechte zuweisen um z.b. einem Benutzer mehr Rechte zu geben.
Das ist schon richtig, aber wenn die Alternative ist, GPOs lokal auf jedem Rechner einzurichten (üper gpedit), dann kann man die auf einem Client erzeugten .POL-Dateien samt Verzeichnisstruktur (unter Windows\system32\GroupPolicy) auf eine Freigabe auf dem Server kopierenund dann jeweils in einem Samba-Startupscript auf die Clients verteilen. Damit spart man sich das Einrichten auf jedem einzelnen Client. Nur so als Bastelidee...