2
GPO nur auf bestimmten Clients anwenden
Hallo,
ich habe eine GPO erstellt, welche es erlaubt bestimmten Usern aus einer Gruppe lokale Adminrechte zu erhalten.
Nun würde ich das Ganze aber noch auf vordefinierte Clients einschränken.
Also eine Gruppe Clients erstellt und in der Sicherunsgfilterung die Gruppe hinterlegt( keine weiteren Einträge ).
In der Delegierung ist die Gruppe ebenfalls hinterlegt, sowie alle Domänen Computer.
Leider greift das ganze nicht wie gewünscht.
Wenn ich jedoch einen PC aus der Gruppe explizit in der Delegierung eintrage geht es. Nur in der Gruppenmitgliedschaft nicht,
Hat mir hier jemand eine Tip?
Vielen Dank.
ich habe eine GPO erstellt, welche es erlaubt bestimmten Usern aus einer Gruppe lokale Adminrechte zu erhalten.
Nun würde ich das Ganze aber noch auf vordefinierte Clients einschränken.
Also eine Gruppe Clients erstellt und in der Sicherunsgfilterung die Gruppe hinterlegt( keine weiteren Einträge ).
In der Delegierung ist die Gruppe ebenfalls hinterlegt, sowie alle Domänen Computer.
Leider greift das ganze nicht wie gewünscht.
Wenn ich jedoch einen PC aus der Gruppe explizit in der Delegierung eintrage geht es. Nur in der Gruppenmitgliedschaft nicht,
Hat mir hier jemand eine Tip?
Vielen Dank.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1346398741
Url: https://administrator.de/contentid/1346398741
Ausgedruckt am: 19.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
auch ein Computer muss erst sein Sitzungstoken erneuern, bevor er seine neue Gruppenmitgliedschaft kennt. Am einfachsten den Client durchstarten, wenn man ihn in eine Gruppe aufnimmt oder davon entfernt, damit das wirkt.
Alternativ unter der Anmeldung von SYSTEM ausführen:
Das geht entweder über einen Scheduled Task oder z.B. mittels PSEXEC.
E.
auch ein Computer muss erst sein Sitzungstoken erneuern, bevor er seine neue Gruppenmitgliedschaft kennt. Am einfachsten den Client durchstarten, wenn man ihn in eine Gruppe aufnimmt oder davon entfernt, damit das wirkt.
Alternativ unter der Anmeldung von SYSTEM ausführen:
klist purgepsexec -s klist purgeE.
Moin,
was spricht dagegen, die betroffenen Geräte in eine eigene OU zu packen und dann die GPO nur auf diese wirken zu lassen?
Liebe Grüße
Erik
was spricht dagegen, die betroffenen Geräte in eine eigene OU zu packen und dann die GPO nur auf diese wirken zu lassen?
Liebe Grüße
Erik
