9
GPOs nur für Administratoren
Moin Community
Ich suche eine GPO für Windows 10 1809, bei der mir das Hintergrundbild gewechselt wird, wenn ich mich als Administrator einlogge. Das Problem dabei ist, dass die GPO für das Hintergrundbild keine Zielgruppenfilterung zur Verfügung stellt, oben sind keine Kartenreiteer zu sehen.
Auch habe ich die Benutzer schon in andere Organizationseinheiten geschoben, somit kann ich es auch nicht über die OU's lösen.
Dann habe ich versucht die GPO für Benutzer zu sperren, der Administrator ist jedoch auch ein Benutzer.
Da fällt mir noch die WMI Filterung ein. Ich habe einen WMI Filter erzeugt: SELECT * FROM Win32_Environment where Name=’isAdmin‘ and VariableValue=’1′. Der greift jedoch nicht.
Mit fällt nur noch ein dass ich ein Hintergrundbild A für alle Benutzer erzeuge und gleich hinterher ein Hintergrundbild B erzeuge, das für Admins gesperrt ist. Dann kann ich jedoch den Benutzern keine Wahl mehr lassen was sie als Hintergrund haben wollen.
Gibt es noch eine andere Lösung?
Keep rockin und Danke
Mike
Ich suche eine GPO für Windows 10 1809, bei der mir das Hintergrundbild gewechselt wird, wenn ich mich als Administrator einlogge. Das Problem dabei ist, dass die GPO für das Hintergrundbild keine Zielgruppenfilterung zur Verfügung stellt, oben sind keine Kartenreiteer zu sehen.
Auch habe ich die Benutzer schon in andere Organizationseinheiten geschoben, somit kann ich es auch nicht über die OU's lösen.
Dann habe ich versucht die GPO für Benutzer zu sperren, der Administrator ist jedoch auch ein Benutzer.
Da fällt mir noch die WMI Filterung ein. Ich habe einen WMI Filter erzeugt: SELECT * FROM Win32_Environment where Name=’isAdmin‘ and VariableValue=’1′. Der greift jedoch nicht.
Mit fällt nur noch ein dass ich ein Hintergrundbild A für alle Benutzer erzeuge und gleich hinterher ein Hintergrundbild B erzeuge, das für Admins gesperrt ist. Dann kann ich jedoch den Benutzern keine Wahl mehr lassen was sie als Hintergrund haben wollen.
Gibt es noch eine andere Lösung?
Keep rockin und Danke
Mike
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 400503
Url: https://administrator.de/forum/gpos-nur-fuer-administratoren-400503.html
Ausgedruckt am: 22.04.2025 um 05:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
wie wäre es "authentifizierte User" auf GPO Lesen zu stellen und "Admins" auf lesen und anwenden?
Gruß
Spirit
wie wäre es "authentifizierte User" auf GPO Lesen zu stellen und "Admins" auf lesen und anwenden?
Gruß
Spirit
Hallo,
Dann kannst Du beliebig Gruppenmitglieder hinzufügen, tauschen und löschen.
Grüße
lcer
Zitat von @Spirit-of-Eli:
Moin,
wie wäre es "authentifizierte User" auf GPO Lesen zu stellen und "Admins" auf lesen und anwenden?
Oder eine neue Gruppe erstellen, die Admins da rein packen. Authentifizierte User auf lesen stellen und die neue Gruppe auf lesen und anwenden.Moin,
wie wäre es "authentifizierte User" auf GPO Lesen zu stellen und "Admins" auf lesen und anwenden?
Dann kannst Du beliebig Gruppenmitglieder hinzufügen, tauschen und löschen.
Grüße
lcer
Moin,
warum sind die administrativen User nicht in einer eigenen OU außerhalb der Hierarchie der Firma?
Liebe Grüße
Erik
warum sind die administrativen User nicht in einer eigenen OU außerhalb der Hierarchie der Firma?
Liebe Grüße
Erik
Das mit lesen und anwenden klingt absolut logisch und einfach, ich habe schon zu kompliziert gedacht, das werde ich die Tage mal testen.
@eriko
Auch eine gute Idee, vermutlich keine Idee, sondern, so, wie das klingt, sogar eine sinnvolle Grundregel. Sie benötigen ja fast keine GPOs. Dann baue ich die aus und verpasse ihnen einfach eigene GPOs.
Ich markiere schon mal als gelöst, das wird sicher klappen. Ich habe mich gestern einfach in die Komplexität verrannt.
Vielen Dank, Jungs.
@eriko
Auch eine gute Idee, vermutlich keine Idee, sondern, so, wie das klingt, sogar eine sinnvolle Grundregel. Sie benötigen ja fast keine GPOs. Dann baue ich die aus und verpasse ihnen einfach eigene GPOs.
Ich markiere schon mal als gelöst, das wird sicher klappen. Ich habe mich gestern einfach in die Komplexität verrannt.
Vielen Dank, Jungs.
Zitat von @erikro:
Moin,
warum sind die administrativen User nicht in einer eigenen OU außerhalb der Hierarchie der Firma?
Liebe Grüße
Erik
Moin,
warum sind die administrativen User nicht in einer eigenen OU außerhalb der Hierarchie der Firma?
Liebe Grüße
Erik
Anders formuliert: Admin Accounts sollten separate User sein und nur zur Administration verwendet werden. Dem entsprechend sind diese gesondert im AD aufgehängt.
Moin,
Das mache ich immer so. Die Admins kommen in eine OU unabhängig von der restlichen Hierarchie direkt unterhalb der Domain. Das hat vor allem den Vorteil, dass sie GPOs auf die Admins nicht wirken. Ein Beispiel, das mal in einer Schulung, die ich gegeben habe, passiert ist. Die Mädels wollten per GPO USB-Wechselmedien sperren, haben aber gleich USB komplett ausgeschaltet. Effekt: Maus und Tastatur sind tot. Richtig blöd: Sie haben es auf der DDP gemacht, so dass auch die Admins keine Maus und Tastatur mehr hatten.
Gerne
Liebe Grüße
Erik
Zitat von @NordicMike:
@eriko
Auch eine gute Idee, vermutlich keine Idee, sondern, so, wie das klingt, sogar eine sinnvolle Grundregel. Sie benötigen ja fast keine GPOs. Dann baue ich die aus und verpasse ihnen einfach eigene GPOs.
@eriko
Auch eine gute Idee, vermutlich keine Idee, sondern, so, wie das klingt, sogar eine sinnvolle Grundregel. Sie benötigen ja fast keine GPOs. Dann baue ich die aus und verpasse ihnen einfach eigene GPOs.
Das mache ich immer so. Die Admins kommen in eine OU unabhängig von der restlichen Hierarchie direkt unterhalb der Domain. Das hat vor allem den Vorteil, dass sie GPOs auf die Admins nicht wirken. Ein Beispiel, das mal in einer Schulung, die ich gegeben habe, passiert ist. Die Mädels wollten per GPO USB-Wechselmedien sperren, haben aber gleich USB komplett ausgeschaltet. Effekt: Maus und Tastatur sind tot. Richtig blöd: Sie haben es auf der DDP gemacht, so dass auch die Admins keine Maus und Tastatur mehr hatten.
Vielen Dank, Jungs.
Gerne
Liebe Grüße
Erik
So langsam kommt Struktur auch in mein Hirn 
Ich habe einfach eine falsche OU Struktur.
also, ins root:
myUsers
myComputers
myAdmins
myServers
ins myUsers dann:
myNiederlassung1
myNiederlassung2
myNiederlassung3
und in myComputers dann auch:
myNiederlassung1
myNiederlassung2
myNiederlassung3
Wäre das so ok?
Ich habe einfach eine falsche OU Struktur.
also, ins root:
myUsers
myComputers
myAdmins
myServers
ins myUsers dann:
myNiederlassung1
myNiederlassung2
myNiederlassung3
und in myComputers dann auch:
myNiederlassung1
myNiederlassung2
myNiederlassung3
Wäre das so ok?
Moin,
ich mache es immer so:
hth
Erik
ich mache es immer so:
domain
- admins
- eingeschränkte accounts
- administrative accounts
- firma
- computer
- clients (evtl. mit Unter-OUs für verschiedenen BS, Standorte etc.)
- Mitgliedsserver
- user (wieder mit Unter-OUs)
- local groups
- global groupshth
Erik
Danke Erik. Das deckt einfach deutlich mehr den unterschiedlichen Anforderungen an die User und Computer, als mit Berechtigungen herum zu doktern.
