GPO nur auf bestimmten Clients anwenden
Hallo,
ich habe eine GPO erstellt, welche es erlaubt bestimmten Usern aus einer Gruppe lokale Adminrechte zu erhalten.
Nun würde ich das Ganze aber noch auf vordefinierte Clients einschränken.
Also eine Gruppe Clients erstellt und in der Sicherunsgfilterung die Gruppe hinterlegt( keine weiteren Einträge ).
In der Delegierung ist die Gruppe ebenfalls hinterlegt, sowie alle Domänen Computer.
Leider greift das ganze nicht wie gewünscht.
Wenn ich jedoch einen PC aus der Gruppe explizit in der Delegierung eintrage geht es. Nur in der Gruppenmitgliedschaft nicht,
Hat mir hier jemand eine Tip?
Vielen Dank.
ich habe eine GPO erstellt, welche es erlaubt bestimmten Usern aus einer Gruppe lokale Adminrechte zu erhalten.
Nun würde ich das Ganze aber noch auf vordefinierte Clients einschränken.
Also eine Gruppe Clients erstellt und in der Sicherunsgfilterung die Gruppe hinterlegt( keine weiteren Einträge ).
In der Delegierung ist die Gruppe ebenfalls hinterlegt, sowie alle Domänen Computer.
Leider greift das ganze nicht wie gewünscht.
Wenn ich jedoch einen PC aus der Gruppe explizit in der Delegierung eintrage geht es. Nur in der Gruppenmitgliedschaft nicht,
Hat mir hier jemand eine Tip?
Vielen Dank.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1346398741
Url: https://administrator.de/forum/gpo-nur-auf-bestimmten-clients-anwenden-1346398741.html
Ausgedruckt am: 20.12.2024 um 06:12 Uhr
2 Kommentare
Neuester Kommentar
Hi,
auch ein Computer muss erst sein Sitzungstoken erneuern, bevor er seine neue Gruppenmitgliedschaft kennt. Am einfachsten den Client durchstarten, wenn man ihn in eine Gruppe aufnimmt oder davon entfernt, damit das wirkt.
Alternativ unter der Anmeldung von SYSTEM ausführen:
Das geht entweder über einen Scheduled Task oder z.B. mittels PSEXEC.
E.
auch ein Computer muss erst sein Sitzungstoken erneuern, bevor er seine neue Gruppenmitgliedschaft kennt. Am einfachsten den Client durchstarten, wenn man ihn in eine Gruppe aufnimmt oder davon entfernt, damit das wirkt.
Alternativ unter der Anmeldung von SYSTEM ausführen:
klist purge
psexec -s klist purge
E.