13
Gruppenrichtlinien werden für Administrator übernommen
Hallo Leute,
habe das Problem hier in unserer Domäne das die Gruppenrichtlinien auch für den Administrator übernommen werden, was natürlich nicht sein soll.
So kann ich bestimmte Einstellungen nicht machen habe aber trotzdem die Rechte was zu installieren im Gegensatz zum Nutzer.
Wüsste nicht wo ich noch gucken sollte, habe den Administrator ja in keiner Gruppe auf den ein GPO verknüpft ist.
Wäre super wenn mir jemand helfen könnte. Vielen Dank im vorraus!
habe das Problem hier in unserer Domäne das die Gruppenrichtlinien auch für den Administrator übernommen werden, was natürlich nicht sein soll.
So kann ich bestimmte Einstellungen nicht machen habe aber trotzdem die Rechte was zu installieren im Gegensatz zum Nutzer.
Wüsste nicht wo ich noch gucken sollte, habe den Administrator ja in keiner Gruppe auf den ein GPO verknüpft ist.
Wäre super wenn mir jemand helfen könnte. Vielen Dank im vorraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 136861
Url: https://administrator.de/contentid/136861
Ausgedruckt am: 26.11.2024 um 09:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo Zeberdee,
geh doch in die Sicherheitseinstellungen der Richtlinie stell' für die Administratoren die Berechtigungen auf "Verweigert" ein.
Über gpresult bekommst du auch ganz schnell raus, welche Richtlinienobjekte an dem User / Admin hängen (Benutzereinstellungen) oder an der Maschine (Computereinstellungen).
Gruß
Michael Student
geh doch in die Sicherheitseinstellungen der Richtlinie stell' für die Administratoren die Berechtigungen auf "Verweigert" ein.
Über gpresult bekommst du auch ganz schnell raus, welche Richtlinienobjekte an dem User / Admin hängen (Benutzereinstellungen) oder an der Maschine (Computereinstellungen).
Gruß
Michael Student
Danke für die schnelle Antwort.
Mit dem Verweigern ok, wollte aber auch so gern wissen warum er die übernimmt.
Über die Gruppenrichtlinienmodellierung seh ich ja auch das da der Administrator bestimmte Gruppenrichtlinien übernimmt, warum weiß ich aber trotzdem nicht.
Nagut dann muss ich das wohl mit dem Verweigern machen.
Mit dem Verweigern ok, wollte aber auch so gern wissen warum er die übernimmt.
Über die Gruppenrichtlinienmodellierung seh ich ja auch das da der Administrator bestimmte Gruppenrichtlinien übernimmt, warum weiß ich aber trotzdem nicht.
Nagut dann muss ich das wohl mit dem Verweigern machen.
Moin Moin
Ich würde an Deiner Stelle nur ungern mit Verweigern arbeiten. Das ist eher ein Notnagel.
Bei den ungewollt übernommenen Einstellungen handelt es sich auch um Benutzereinstellungen?
Gruß L.
Ich würde an Deiner Stelle nur ungern mit Verweigern arbeiten. Das ist eher ein Notnagel.
Wüsste nicht wo ich noch gucken sollte, habe den Administrator ja in keiner Gruppe auf den ein GPO verknüpft ist.
Du hast der Gruppe der Autentifizierten Benutzer auch sicher das Recht genommen (nicht verweigert) die GPO zu übernehmen?Bei den ungewollt übernommenen Einstellungen handelt es sich auch um Benutzereinstellungen?
Gruß L.
Zitat von @Logan000:
Du hast der Gruppe der Autentifizierten Benutzer auch sicher das Recht genommen (nicht verweigert) die GPO zu übernehmen?
Bei den ungewollt übernommenen Einstellungen handelt es sich auch um Benutzereinstellungen?
Du hast der Gruppe der Autentifizierten Benutzer auch sicher das Recht genommen (nicht verweigert) die GPO zu übernehmen?
Bei den ungewollt übernommenen Einstellungen handelt es sich auch um Benutzereinstellungen?
Hallo Logan,
bei den Authentifizierten Benutzern ist der Haken bei "Lesen" und "Gruppenrichtlinie übernehmen" Zulassen gesetzt.
Dort hab ich jedoch nie was verändert. Aber gehören denn die normalen User nicht auch zu den Authentifizierten Benutzern und muss
dementsprechend nicht auch die Gruppenrichtlinie übernommen werden? Bin jetzt etwas verwirrt.
Ja es betrifft auch die Benutzereinstellungen.
auch für den Administrator übernommen werden, was natürlich nicht sein soll.
Doch, ist vollkommen richtig - wenn du die GPO auf die Domäne verknüpft hast und nicht wie man es üblich macht auf die OU mit allen Benutzern (und damit meine ich nicht den Users-Container).
Zitat von @dog:
Doch, ist vollkommen richtig - wenn du die GPO auf die Domäne verknüpft hast und nicht wie man es üblich macht auf
die OU mit allen Benutzern (und damit meine ich nicht den Users-Container).
Doch, ist vollkommen richtig - wenn du die GPO auf die Domäne verknüpft hast und nicht wie man es üblich macht auf
die OU mit allen Benutzern (und damit meine ich nicht den Users-Container).
Das habe ich. Ich hab eine OU Nutzer und eine für die Computer. Und auf diese OU's sind dann die entsprechenden Gruppenrichtlinien verknüpft. Also einmal die Benutzereinstellungen und einmal die Computereinstellungen.
Du hast also den Administrator schön im Users-Container gelassen und auf den oder auf die Domäne selbst keine GPOs verknüpft?
Dann sollten auch Keine auf ihn angewendet werden (außer die Default Domain Policy).
Dann sollten auch Keine auf ihn angewendet werden (außer die Default Domain Policy).
Zitat von @dog:
Du hast also den Administrator schön im Users-Container gelassen und auf den oder auf die Domäne selbst keine GPOs
verknüpft?
Du hast also den Administrator schön im Users-Container gelassen und auf den oder auf die Domäne selbst keine GPOs
verknüpft?
Genauso siehts aus. Administrator im Users-Container und auf die Domäne ist nur die Default Domain Policy verknüpft!
Moin Moin
Dann solten zumindest keine Benutzereinstellungen für den Administrator übernommen werden sondern nur Computereinstellungen.
Kannst du mal (als Bsp.) eine Benutzereinstellung benennen die für die User Angewendet werden soll aber nicht für den Admin?
Wegen der Authentifizierten Benutzer: Das ist schon OK so wie du es beschrieben hast.
Bei uns werden die meisten GPOs auf eigene Gruppen angewendet. Nur sehr wenige GPOs werden auf Alles in einer OU losgelassen.
Gruß L.
Dann solten zumindest keine Benutzereinstellungen für den Administrator übernommen werden sondern nur Computereinstellungen.
Kannst du mal (als Bsp.) eine Benutzereinstellung benennen die für die User Angewendet werden soll aber nicht für den Admin?
Wegen der Authentifizierten Benutzer: Das ist schon OK so wie du es beschrieben hast.
Bei uns werden die meisten GPOs auf eigene Gruppen angewendet. Nur sehr wenige GPOs werden auf Alles in einer OU losgelassen.
Gruß L.
Zum Beispiel ist der Punkt Software in der Systemsteuerung ausgeblendet, cmd ist auch gesperrt um jetzt mal nur ein paar Beispiele zu nennen.
Moin moin
Sorry das ich mich erst so spät melde.
Hast du schon mal versucht in der GPMC ein Gruppenrichtlinienergebnis für den betroffenen PC/User zu erstellen?
Darin solte für jede Einstellung die verantwortliche GPO angezeigt werden.
Da solte dir dann ja unter
Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Software / Systemsteuerungsoption "Software" entfernen
angezeigt werden, durch welche GPO diese Einstellung aktiviert wurde.
Darüberhinaus wird Dir natürlich angezeigt welche GPOs angewendet werden (oder auch nicht bzw. warum nicht).
Gruß L.
Sorry das ich mich erst so spät melde.
Hast du schon mal versucht in der GPMC ein Gruppenrichtlinienergebnis für den betroffenen PC/User zu erstellen?
Darin solte für jede Einstellung die verantwortliche GPO angezeigt werden.
Da solte dir dann ja unter
Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Software / Systemsteuerungsoption "Software" entfernen
angezeigt werden, durch welche GPO diese Einstellung aktiviert wurde.
Darüberhinaus wird Dir natürlich angezeigt welche GPOs angewendet werden (oder auch nicht bzw. warum nicht).
Gruß L.
Moin ,
hatte ich schon gemacht.
Merkwürdigerweise steht da aber nichts drin von den Benutzereinstellungen, die übernommen werden, sondern nur von den Computereinstellungen der PCs.
Zudem hatte ich jetzt auch ein PCs zwischen 15 bei dem alles so ist wie es sein sollte, also wo die Richtlinien nicht übernommen werden.
Was an dem anders sein soll konnte sich mir aber auch nicht erschließen...
Gruß
hatte ich schon gemacht.
Merkwürdigerweise steht da aber nichts drin von den Benutzereinstellungen, die übernommen werden, sondern nur von den Computereinstellungen der PCs.
Zudem hatte ich jetzt auch ein PCs zwischen 15 bei dem alles so ist wie es sein sollte, also wo die Richtlinien nicht übernommen werden.
Was an dem anders sein soll konnte sich mir aber auch nicht erschließen...
Gruß
Moin Moin
Ich sehe 2 mögliche Ursachen:
1. an einigen PCs sind diese Benutzereinstellungen in den Lokalen Richtlinen vorgenommen worden.
2. die Benutzereinstellungen waren mal als GPO für den admin aktiv und wurden dann auf "nicht konfiguriert" gestellt.
Erstelle dir eine neue GPO mit der Einstellung:
Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Software / Systemsteuerungsoption "Software = deaktiviert.
Sorge dafür das diese GPO nur für den bewusten Admin Account gilt.
Damit soltest du 1 und 2 erschlagen.
Gruß L.
Ich sehe 2 mögliche Ursachen:
1. an einigen PCs sind diese Benutzereinstellungen in den Lokalen Richtlinen vorgenommen worden.
2. die Benutzereinstellungen waren mal als GPO für den admin aktiv und wurden dann auf "nicht konfiguriert" gestellt.
Erstelle dir eine neue GPO mit der Einstellung:
Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Software / Systemsteuerungsoption "Software = deaktiviert.
Sorge dafür das diese GPO nur für den bewusten Admin Account gilt.
Damit soltest du 1 und 2 erschlagen.
Gruß L.
