6
GPO - Lokale Gruppe mit immer gleichen SID
Hallo,
wie der Titel schon verrät, versuche ich eine Lokale Gruppe auszurollen, die auf dem Lokalen PC, auf dem sie ausgerollt wird, immer die selbe SID erhält. Ähnlich wie bei der "Administrators" Gruppe oder der "Power Users" Gruppe.
Füge ich eine Neue Gruppe unter Computer "Configuration\Preferences\Control Panel Settings\Local Users and Groups" hinzu, wird diese dann auch auf jedem PC erzeugt, hat allerdings immer eine andere SID.
Der Grund dafür sind die GPO Templates von RealVNC, hier kann ich Berechtigungen leider nur auf SIDs vergeben, was mir natürlich nichts bringt, wenn diese immer eine andere ist.
Vielen Dank im Vorraus.
Gruß
fluluk
wie der Titel schon verrät, versuche ich eine Lokale Gruppe auszurollen, die auf dem Lokalen PC, auf dem sie ausgerollt wird, immer die selbe SID erhält. Ähnlich wie bei der "Administrators" Gruppe oder der "Power Users" Gruppe.
Füge ich eine Neue Gruppe unter Computer "Configuration\Preferences\Control Panel Settings\Local Users and Groups" hinzu, wird diese dann auch auf jedem PC erzeugt, hat allerdings immer eine andere SID.
Der Grund dafür sind die GPO Templates von RealVNC, hier kann ich Berechtigungen leider nur auf SIDs vergeben, was mir natürlich nichts bringt, wenn diese immer eine andere ist.
Vielen Dank im Vorraus.
Gruß
fluluk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304225
Url: https://administrator.de/contentid/304225
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
die von dir aufgeführten lokalen Gruppen sind alles Systemrelevante Gruppen und haben deswegen immer und überall dieselbe SID.
Warum brauchst Du bitte für GPO Templates extra lokale Gruppen? Das geht Doch am Sin der Domäne und GPO an sich vorbei.
Jede selbsterstellte Domänengruppe hat auch eine SID und die ist sogar für alle Rechner in der Domäne gleich.
Was genau ist denn bitte das Ziel?
Gruß
Chonta
die von dir aufgeführten lokalen Gruppen sind alles Systemrelevante Gruppen und haben deswegen immer und überall dieselbe SID.
Warum brauchst Du bitte für GPO Templates extra lokale Gruppen? Das geht Doch am Sin der Domäne und GPO an sich vorbei.
Jede selbsterstellte Domänengruppe hat auch eine SID und die ist sogar für alle Rechner in der Domäne gleich.
Was genau ist denn bitte das Ziel?
Gruß
Chonta
Dein Ziel lässt sich erreichen, wenn du eine Domänengruppe nimmst.
Hallo,
VNC ist generell so aufgebaut, dass es eine eigene Userverwaltung hat, in der ich festlegen kann, welche Benutzer eine Verbindung herstellen können, welche Benutzer eine Verbindung herstellen können ohne das der gegenüber dies Akzeptieren muss usw.
Wenn ich allerdings über die GPO von VNC festlege, dass z.B. alle Administratoren Zugriff haben ohne das der gegenüber das akzeptieren muss wird die komplette Userverwaltung vor Änderungen gesperrt, was an sich OK ist.
Nun möchte ich allerdings bestimmten Maschinenbedienern die gleiche Möglichkeit wie die der Administratoren geben. Diese sollen allerdings nicht gleich auf alle PCs Zugreifen können, sondern nur auf bestimmte. Somit fällt eine Domänengruppe raus.
Daher hatte ich mir überlegt, einfach eine Lokale Gruppe anzulegen "VNC-Admins" in der diese Benutzer aufgeführt sind und diese Gruppe wiederum auf VNC-Seite Adminrechte zu geben.
das funktioniert allerdings nur über die SID der Gruppe, die sich ja leider bei jedem PC unterscheidet.
VNC ist generell so aufgebaut, dass es eine eigene Userverwaltung hat, in der ich festlegen kann, welche Benutzer eine Verbindung herstellen können, welche Benutzer eine Verbindung herstellen können ohne das der gegenüber dies Akzeptieren muss usw.
Wenn ich allerdings über die GPO von VNC festlege, dass z.B. alle Administratoren Zugriff haben ohne das der gegenüber das akzeptieren muss wird die komplette Userverwaltung vor Änderungen gesperrt, was an sich OK ist.
Nun möchte ich allerdings bestimmten Maschinenbedienern die gleiche Möglichkeit wie die der Administratoren geben. Diese sollen allerdings nicht gleich auf alle PCs Zugreifen können, sondern nur auf bestimmte. Somit fällt eine Domänengruppe raus.
Daher hatte ich mir überlegt, einfach eine Lokale Gruppe anzulegen "VNC-Admins" in der diese Benutzer aufgeführt sind und diese Gruppe wiederum auf VNC-Seite Adminrechte zu geben.
das funktioniert allerdings nur über die SID der Gruppe, die sich ja leider bei jedem PC unterscheidet.
Aber meine Antwort kam bei Dir an, oder?
ja, aber funktionieren tut es nicht.
wie gesagt, die user sollen nicht gleich Zugriff auf alle PCs erhalten, somit fällt das Pflegen der Gruppe auf dem DC raus.
Wähle ich diese Gruppe bei "Configuration\Preferences\Control Panel Settings\Local Users and Groups" aus hat jeder PC dennoch verschiedene SIDs.
wie gesagt, die user sollen nicht gleich Zugriff auf alle PCs erhalten, somit fällt das Pflegen der Gruppe auf dem DC raus.
Wähle ich diese Gruppe bei "Configuration\Preferences\Control Panel Settings\Local Users and Groups" aus hat jeder PC dennoch verschiedene SIDs.
Aber sicher, haben wir vor Jahren noch selbst genutzt.
Du erstellst die Domänengruppe VNC1, packst da Domänenuser A,B,C,... rein (oder auch nur einen). VNC1 darf dann auf einen, zwei, drei PCs rauf, ganz wie Du willst. VNC2 dann auf andere. Ich kenne nicht alle Absichten, die du mit den GPOs umsetzen willst, aber ich sehe keinen Grund, dass es nicht umsetzbar wäre.
Du erstellst die Domänengruppe VNC1, packst da Domänenuser A,B,C,... rein (oder auch nur einen). VNC1 darf dann auf einen, zwei, drei PCs rauf, ganz wie Du willst. VNC2 dann auf andere. Ich kenne nicht alle Absichten, die du mit den GPOs umsetzen willst, aber ich sehe keinen Grund, dass es nicht umsetzbar wäre.
