dq28121989
Goto Top

GPO Lokal einstellen

Ich habe einen kleinen "Server" aufgesezt, er besteht aus einem Notebook ohne display, quasi ausrangiert und drauf ist Win XP prof..

Mein Problem ist nun: Ich möchte dort mehr als nur einen Remotedesktop-Benutzer anlegen der dann Zugriff auf bestimmte Sachen haben soll um bestimmte Dienste zu nutzen (für einen Webserver, mysql, oder was mir noch so einfällt). Allerdings sollte derjenige nicht zu viel verändern dürfen, weniger aus dem Grund das ich ihm nicht vertraue sondern eher weil ich das teils zu Übungs- und testzwecken benutzen möchte.

Kurzfassung: Ich möchte für verschiedene Lokale Benutzer ohne einen "richtigen" Server verschiedene Gruppenrichtlinien festlegen.

Erstmal die Frage ob das Überhaupt geht? Ich fürchte es geht nicht.
Wenn es nicht gehen sollte, geht es das ich einen Server auf einem Rechner im Netzwerk in einer VM aufsetze und von dort aus die Richtlinien festlege?

Ich hoffe ihr könnt helfen.

lg

Content-ID: 125343

Url: https://administrator.de/forum/gpo-lokal-einstellen-125343.html

Ausgedruckt am: 28.12.2024 um 17:12 Uhr

Cubic83
Cubic83 19.09.2009 um 19:39:55 Uhr
Goto Top
Hallo,

was du suchst ist ein Terminal Server. Auf einem normalen Windows Server ist die Anzahl der gleichzeitigen Nutzer auf 2 Remote Verbindungen beschränkt. Gruppenrichtlinien greifen aber sowohl mit als auch ohne TS. Gruppenrichtlinien werden normalerweise über einen Domaincontroller mit AD bestimmt. Du kannst aber auch die lokalen Gruppenrichtlinien mit gpedit.msc definieren. Das Problem ist halt die Beschränkung auf 2 Zugriffe. Dass du eine VM hochziehst ändert nichts daran.

mfG
Xaero1982
Xaero1982 19.09.2009 um 19:41:16 Uhr
Goto Top
Also mir ist nicht ganz klar was du machen willst und ich glaube damit bin ich nicht alleine face-smile

Es sollen mehrere Benutzer GLEICHZEITIG auf den XP Pro "Server" zugreifen via RDP?
Falls das so ist dann: Nein, nicht möglich!

Für verschiedene Benutzer verschiedene Gruppenrichtlinien?
Nein, nicht möglich! Bzw. Jaein es soll mit einem kleinen Trick möglich sein via Sicherheitseinstellungen.
Wobei ich glaube, dass das nur für maximal EINEN Nutzer geht bzw. dann für jeden Nutzer greift.
Also: Nein, nicht möglich!

Du benötigst dafür einen Server mit AD Struktur - sonst wird das nichts. Wo der Server installiert ist spielt letztenendes keine Rolle, aber beim Anmelden der Benutzer muss er aktiv sein.

LG
Cubic83
Cubic83 19.09.2009 um 19:49:47 Uhr
Goto Top
/* BISSEL OFFTOPIC

Mir stellt sich da gerade eine Frage. Wenn du dich mit jedem User einzeln einloggst und dann jeweils die Benutzerrichtlinien per gpedit.msc änders müsste sich das doch auf jeden einzelnen Benutzer, unabhängig für die anderen Benutzer beziehen? Soweit ich weiss gelten die lokalen Benutzerichtlinien ja für dem Current_User, oder nicht? Ich habe hier gerade keine Möglichkeit das zu testen.

*/
Xaero1982
Xaero1982 19.09.2009 um 20:02:07 Uhr
Goto Top
Nein, auf einem normalen XP Pro Pc beziehen sich die GPO die per gpedit.msc editiert werden auf ALLE lokalen Benutzer.

Wir haben das mal gestestet und wir hatten Leute dabei die es geschafft haben sich lokal auzusperren face-smile Da hilft dann oftmals nur noch eine Neuinstallation von Windows.

Die einzige Möglichkeit den lokalen Admin davon raus zu halten ist, dass man ihm die Leseberechtigungen für die Gruppenrichtliniendatei entzieht. Dann kann dieser sie nicht mehr lesen und somit nicht verarbeiten. Das kann man natürlich für jeden beliebigen Nutzer machen, aber es gibt nur eine lokale Richtlinie, sprich nur eine Datei.

LG
dq28121989
dq28121989 19.09.2009 um 22:37:25 Uhr
Goto Top
Hi, also du hast da was falsch verstanden, ich kann zu deiner info nur einen benutzer gleichzeitig drauf laufen lassen die 10 zugriffe beziehen sich auf freigaben bzw dateizugriffe.

vllt erkläre ich es mal so:
jeder hat 2 benutzer, einen rmd und einen für dateizugriff!

die beiden benutzer sind in ihrer eigenen Gruppe. Für diese gruppe möchte ich zwei unterschiedliche Gruppenrichtlinien festlegen!

trotzdem danke
dq28121989
dq28121989 19.09.2009 um 22:38:45 Uhr
Goto Top
Oke du hast mir meine fragen überwiegend beantwortet nun stellt sich die frage wie ich das problem bestmöglich lösen kann, ich habe mir schon windows server 2k gekauft aber leider keine treiber bekommen also wieder verkauft, für win 2k3 habe ich nich genug geld bzw das preisleistungsverhöltniss stimmt nicht mehr
lg steven
dq28121989
dq28121989 19.09.2009 um 22:45:13 Uhr
Goto Top
is doch nicht off topic ... genau die frage habe ich mir auch gestellt wollte aber nich weiter testen da ich schon 2 ordner auf der platte habe aus denen ich mich ausgesperrt habe :P
Xaero1982
Xaero1982 19.09.2009 um 22:53:38 Uhr
Goto Top
Zitat von @dq28121989:
is doch nicht off topic ... genau die frage habe ich mir auch gestellt
wollte aber nich weiter testen da ich schon 2 ordner auf der platte
habe aus denen ich mich ausgesperrt habe :P

Ausgesperrt? Man kann sich nicht aus Ordnern aussperren face-smile Man kann sich nur ... zu ... anstellen da wieder zugriff zu bekommen.

Du gehst auf Sicherheit und trägst dort den Benutzer wieder ein. Hierzu musst du allerdings Administratorberechtigungen haben.
Bekommst du hier eine Fehlermeldung, wenn du auf Sicherheit gehst?
Dann klick auf erweitert und auf Besitzer. Dort sagst du dann Besitz übernehmen für den Ausgewählten Benutzer und auch Unterordner falls vorhanden.
Dann klickst du ok ...
Anschließend öffnest du noch mal Sicherheit und dann kannst du dort deinen Benutzer eintragen.
lg
Xaero1982
Xaero1982 19.09.2009 um 22:55:37 Uhr
Goto Top
Wieso keine Treiber?
Dann wirst du für den 2003er erst recht keine Treiber bekommen.
Ich verstehe nicht, warum du dir nicht einen simplen PC zusammenbaust. Das kostet heute wirklich nicht mehr die Welt.
Da kannst du dann den 2000er installieren bzw.:
WAS genau soll dein Vorhaben eigentlich bezwecken?

Du wirst um nen Windowsserver nicht drumrum kommen, wenn du mit GPO arbeiten willst...
lg
dq28121989
dq28121989 19.09.2009 um 22:59:14 Uhr
Goto Top
Wie auch immer ich habe mir alle Rechte gegeben die man haben kann aber trotzdem zugriff verweigert ich habe ein wenig in den voreingestellten gruppen gespielt, in den ordnern ist nichts drin und ich werde sie bald notfalls mit einer bootdisk entfernen aber im endeffekt habe ich etwas gemacht was nich passieren sollte da ist es doch nicht so schlimm wenn man etwas vorsichtiger ist ;) ... hat auch nichts mir zu ... zum ... zu tun ...
dq28121989
dq28121989 19.09.2009 um 23:08:08 Uhr
Goto Top
Ein PC kostet nicht die welt das stimmt, aber im stromverbrauch macht sich ein Notebook zig mal besser und vom platz her ist es auch viel besser ausserdem stand das gerät zur verfügung und ich hatte aktuell keine verwendung dafür das sind doch genügend gründe oder?

mein genaues vorhaben ...:
an erster stelle steht, Erfahrungen sammeln und gewisse Sachen austesten.
dann soll das z.b. ein Webserver darstellen mit sql und ftp und evtl noch ssl mal schaun wofür sich verwendung finden lässt und der Server soll mein VPN server werden mitdem ich über meinen Vistarechner im netzwerk und den rechner von meinnem Kollegen die Kalenderdaten synchronisieren kann. Dann liegen auf dem server meine Dateien die ich vom Netbook (lokal und unterwegs) und vom PC (Lokal) abrufen möchte damit ich nicht dauernd was durchs netzwerk schicken muss (netzlaufwerk.. klappt super)
Dann möchte ich auf dem Server Sicherheitslücken austesten bzw meinen Server angreifen und schottendicht machen, weils spass macht und wichtig ist.

größtenteils sind das spielereien die man anders lösen kann aber wie gesagt ich brauche was zum spielen und nutze nur sachen die zur verfügung stehen.

lg
Xaero1982
Xaero1982 19.09.2009 um 23:11:27 Uhr
Goto Top
Dann kann ich dir leider nicht weiter helfen.

Wenn es keine Treiber gibt hast du ein Problem. Wenn du keinen Server hast, hast du ein noch größeres Problem.

Also mit mehreren Benutzern wird das dann nichts.

Der Rest lässt sich problemlos realisieren....

LG
Xaero1982
Xaero1982 19.09.2009 um 23:28:06 Uhr
Goto Top
Wie ich bereits schrieb ... wenn du dir die Recht so gibst wie ich es oben geschrieben habe, hast du auch wieder Zugriff. Es ist NICHT möglich sich von einem Ordner auszusperren, wenn du Adminrechte hast.

Nichts für Ungut, aber du solltest anfangen mit solchen banalen Dingen unter Windows, bevor du zu den Vorhaben kommst die du machen willst.

lg
dq28121989
dq28121989 20.09.2009 um 00:25:35 Uhr
Goto Top
Also, das ich eingeschränkt bin ist mir klar ich möchte ja nicht das ich 2 benutzer zur gleichen zeit zugriff gewähre dass das nicht geht hab ich schon mitbekommen. Aber irgendwer hatte hier doch was von einem Trick gesagt das man die richtlinien einer gruppe doch noch unabhängig konfigurieren kann. wenn es nicht gehen sollte ist es auch nicht so schlimm es reicht trotzdem für meine zwecke aus.

ansonsten gute nacht und schönes restliches wochenende

lg
dq28121989
dq28121989 20.09.2009 um 00:30:16 Uhr
Goto Top
Was mir noch eingefallen ist! Ein einfacheres Beispiel! Ich habe Vista ultimate und damit auch die möglichkeit auf gpedit.msc zuzugreifen. Wie könnte man es realisieren das ich als admin meine rechte behalte aber meine freundin als eingeschränkte benutzerin nicht zu sehr eingeschränkt ist.
Es gibt ja auf jedem System wohl mindestens 2 Benutzergruppen mit 2 versch. gpos ... einmal die admin gpo und einmal die gpo für gäste bzw eingeschränkte user. Es müsste doch eine möglichkeit geben die GPO von den Gästen zu überarbeiten.
Xaero1982
Xaero1982 20.09.2009 um 08:50:47 Uhr
Goto Top
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_Standalo ...
http://faq.lauer-consulting.net/faq/gruppenrichtlinie-auch-ohne-server- ...
http://www.searchsecurity.de/themenbereiche/plattformsicherheit/os-sich ...

Wie es aussieht kannst du den Spaß mit Windows Vista realisieren, da Windows Vista wohl multiple GPOs verwaltet.

Kann es aber hier nicht testen, weil ich Vista nicht nutze ...

Unter W7 müsste es auch so sein...ich schaus mir mal an.

LG
Hab noch was gefunden:
Unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten
kannst du einige Rechte zuweisen um z.b. einem Benutzer mehr Rechte zu geben.
dq28121989
dq28121989 20.09.2009 um 13:39:14 Uhr
Goto Top
Danke damit sind die fragen ja beantwortet. Schade eigentlich wäre echt ein geiles Spielzeug gewesen aber man kommt halt nicht um die teuren Betriebssysteme rum. Schade eigentlich.

lg
jhinrichs
jhinrichs 20.09.2009 um 18:04:51 Uhr
Goto Top
Hallo,


ist zwar schon "gelöst", aber was ist eigentlich mit Linux/Samba? Ist nicht wirklich teuer, genügsam bei der Hardware, junbeschränkt bei den Nutzern und von der Einarbeitung auch niht komplexer als Windows Server.
Xaero1982
Xaero1982 20.09.2009 um 18:18:43 Uhr
Goto Top
Man kann aber nicht mit Gruppenrichtlinien arbeiten ... sowas gibts unter Linux nicht ..

LG
dq28121989
dq28121989 20.09.2009 um 19:16:07 Uhr
Goto Top
Auch ne nette Idee aber wie Xaero schon geschrieben hat es gibt keine GPOs. Ausserdem ist das mein privater Dateiserver für Daten die ich vom Netbook UND vom PC abrufen möchte (Netzlaufwerk) denke da gäbe es Probleme bei Linux.
Xaero1982
Xaero1982 20.09.2009 um 19:27:36 Uhr
Goto Top
Nein ... da gibts keine Probleme über ne SMB Freigabe alles kein Problem, aber nix mit Gruppenrichtlinien...

LG
jhinrichs
jhinrichs 21.09.2009 um 08:00:30 Uhr
Goto Top
Das ist schon richtig, aber wenn die Alternative ist, GPOs lokal auf jedem Rechner einzurichten (üper gpedit), dann kann man die auf einem Client erzeugten .POL-Dateien samt Verzeichnisstruktur (unter Windows\system32\GroupPolicy) auf eine Freigabe auf dem Server kopierenund dann jeweils in einem Samba-Startupscript auf die Clients verteilen. Damit spart man sich das Einrichten auf jedem einzelnen Client. Nur so als Bastelidee...
Xaero1982
Xaero1982 21.09.2009 um 08:37:51 Uhr
Goto Top
Keine schlechte Idee, wird aber vom Timing her nicht hinhauen ...
Ansonsten ... cool xD
jhinrichs
jhinrichs 21.09.2009 um 11:03:49 Uhr
Goto Top
Naja, spätestens nach der nächsten Anmeldung/Reboot sollten die GPOs dann greifen (habe das Verfahren auf einem RHEL 5.2 schon getestet), das ist ja bei AD-GPOs auch manchmal so.
Eleganter natürlich echte GPOs über WIndows Server (oder die nächste Samba-Version...)