Greift eine Gruppe über OUs hinweg?
hi@all
Ich habe hier einen Windows 2003 Server mit diversen OUs. In einer von denen gibt es eine Gruppe, die den User auf der lokalen Maschine dem lokalen Administratoren-Account hinzufügt. Nun möchte ich einen User aus einer anderen OU ebenfalls lokale Admin-Rechte geben, also habe ich ihn dieser Gruppe hinzugefügt. Leider funktioniert das aber nicht. Muss ich eigens für diese OU nochmals so eine Gruppe einrichten?
Ich habe hier einen Windows 2003 Server mit diversen OUs. In einer von denen gibt es eine Gruppe, die den User auf der lokalen Maschine dem lokalen Administratoren-Account hinzufügt. Nun möchte ich einen User aus einer anderen OU ebenfalls lokale Admin-Rechte geben, also habe ich ihn dieser Gruppe hinzugefügt. Leider funktioniert das aber nicht. Muss ich eigens für diese OU nochmals so eine Gruppe einrichten?
Please also mark the comments that contributed to the solution of the article
Content-ID: 170624
Url: https://administrator.de/contentid/170624
Printed on: December 12, 2024 at 00:12 o'clock
5 Comments
Latest comment
Hallo,
"Gruppen"richtlinien im AD wirken - anders als der Name suggeriert - ausschließlich auf einzelne Benutzer- und Computerobjekte. Gruppen kann man hingegen bei der Sicherheitsfilterung verwenden. Siehe http://social.technet.microsoft.com/Forums/de-DE/active_directoryde/thr ...
Die im verlinkten Thread beschriebene Vorgehensweise ist aber nur dann nötig, wenn die Policy nicht auf alle Rechner wirken soll (weil die Gruppenmitglieder nur auf bestimmten PCs lokale Admin-Rechte haben sollen) und es aufgrund der OU-Struktur nicht möglich ist, anders zu arbeiten (die OU-Struktur gibt die Rechner-Auswahl nicht wieder). Ansonsten würde ich die Finger von der Sicherheitsfilterung lassen. Das macht es nur unübersichtlich!
Wenn die Gruppenmitglieder auf allen PCs der Domäne oder auf allen PCs unterhalb mehrerer OUs lokale Admins sein sollen, dann muss man die Policy nur weit genug oben in der OU-Struktur einhängen oder die selbe Policy mit mehreren OUs verknüpfen.
Gruß
sk
"Gruppen"richtlinien im AD wirken - anders als der Name suggeriert - ausschließlich auf einzelne Benutzer- und Computerobjekte. Gruppen kann man hingegen bei der Sicherheitsfilterung verwenden. Siehe http://social.technet.microsoft.com/Forums/de-DE/active_directoryde/thr ...
Die im verlinkten Thread beschriebene Vorgehensweise ist aber nur dann nötig, wenn die Policy nicht auf alle Rechner wirken soll (weil die Gruppenmitglieder nur auf bestimmten PCs lokale Admin-Rechte haben sollen) und es aufgrund der OU-Struktur nicht möglich ist, anders zu arbeiten (die OU-Struktur gibt die Rechner-Auswahl nicht wieder). Ansonsten würde ich die Finger von der Sicherheitsfilterung lassen. Das macht es nur unübersichtlich!
Wenn die Gruppenmitglieder auf allen PCs der Domäne oder auf allen PCs unterhalb mehrerer OUs lokale Admins sein sollen, dann muss man die Policy nur weit genug oben in der OU-Struktur einhängen oder die selbe Policy mit mehreren OUs verknüpfen.
Gruß
sk