fluluk
Goto Top

GPO - Lokale Gruppe mit immer gleichen SID

Hallo,

wie der Titel schon verrät, versuche ich eine Lokale Gruppe auszurollen, die auf dem Lokalen PC, auf dem sie ausgerollt wird, immer die selbe SID erhält. Ähnlich wie bei der "Administrators" Gruppe oder der "Power Users" Gruppe.
Füge ich eine Neue Gruppe unter Computer "Configuration\Preferences\Control Panel Settings\Local Users and Groups" hinzu, wird diese dann auch auf jedem PC erzeugt, hat allerdings immer eine andere SID.

Der Grund dafür sind die GPO Templates von RealVNC, hier kann ich Berechtigungen leider nur auf SIDs vergeben, was mir natürlich nichts bringt, wenn diese immer eine andere ist.

Vielen Dank im Vorraus.

Gruß
fluluk

Content-ID: 304225

Url: https://administrator.de/forum/gpo-lokale-gruppe-mit-immer-gleichen-sid-304225.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Chonta
Chonta 11.05.2016 um 17:55:54 Uhr
Goto Top
Hallo,

die von dir aufgeführten lokalen Gruppen sind alles Systemrelevante Gruppen und haben deswegen immer und überall dieselbe SID.

Warum brauchst Du bitte für GPO Templates extra lokale Gruppen? Das geht Doch am Sin der Domäne und GPO an sich vorbei.
Jede selbsterstellte Domänengruppe hat auch eine SID und die ist sogar für alle Rechner in der Domäne gleich.

Was genau ist denn bitte das Ziel?

Gruß

Chonta
DerWoWusste
DerWoWusste 11.05.2016 um 18:00:03 Uhr
Goto Top
Dein Ziel lässt sich erreichen, wenn du eine Domänengruppe nimmst.
fluluk
fluluk 12.05.2016 um 15:06:14 Uhr
Goto Top
Hallo,

VNC ist generell so aufgebaut, dass es eine eigene Userverwaltung hat, in der ich festlegen kann, welche Benutzer eine Verbindung herstellen können, welche Benutzer eine Verbindung herstellen können ohne das der gegenüber dies Akzeptieren muss usw.
Wenn ich allerdings über die GPO von VNC festlege, dass z.B. alle Administratoren Zugriff haben ohne das der gegenüber das akzeptieren muss wird die komplette Userverwaltung vor Änderungen gesperrt, was an sich OK ist.

Nun möchte ich allerdings bestimmten Maschinenbedienern die gleiche Möglichkeit wie die der Administratoren geben. Diese sollen allerdings nicht gleich auf alle PCs Zugreifen können, sondern nur auf bestimmte. Somit fällt eine Domänengruppe raus.

Daher hatte ich mir überlegt, einfach eine Lokale Gruppe anzulegen "VNC-Admins" in der diese Benutzer aufgeführt sind und diese Gruppe wiederum auf VNC-Seite Adminrechte zu geben.
das funktioniert allerdings nur über die SID der Gruppe, die sich ja leider bei jedem PC unterscheidet.
DerWoWusste
DerWoWusste 12.05.2016 um 15:37:20 Uhr
Goto Top
Aber meine Antwort kam bei Dir an, oder?
fluluk
fluluk 12.05.2016 um 16:30:20 Uhr
Goto Top
ja, aber funktionieren tut es nicht.

wie gesagt, die user sollen nicht gleich Zugriff auf alle PCs erhalten, somit fällt das Pflegen der Gruppe auf dem DC raus.
Wähle ich diese Gruppe bei "Configuration\Preferences\Control Panel Settings\Local Users and Groups" aus hat jeder PC dennoch verschiedene SIDs.
DerWoWusste
DerWoWusste 12.05.2016 um 20:50:48 Uhr
Goto Top
Aber sicher, haben wir vor Jahren noch selbst genutzt.
Du erstellst die Domänengruppe VNC1, packst da Domänenuser A,B,C,... rein (oder auch nur einen). VNC1 darf dann auf einen, zwei, drei PCs rauf, ganz wie Du willst. VNC2 dann auf andere. Ich kenne nicht alle Absichten, die du mit den GPOs umsetzen willst, aber ich sehe keinen Grund, dass es nicht umsetzbar wäre.