kentarion
Goto Top

Lokale Gruppenrichtline greift auch am DC...

Wenn ich in den in der Default Domain Policy (oder auch in einer selbsterstellten verknüpften) unter Windows Server 2008
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen
Administratoren hinzufüge und als Mitglieder die Domain-Admins und eine weitere Benutzergruppe (die lokale Adminrechte haben soll) hinzufüge.

wird bei einem gpupdate /force diese auf den lokalen Clients eingetragen. So weit so gut.

Nun wird aber auch am Server unter Administratoren (Builtin - Sicherheitsgruppe - Lokal (in Domäne)) diese Benutzergruppe eingetragen.

Das möchte ich natürlich nicht.

Der DC soll nur den Domain-Admin als zusätzliche Gruppe haben.

Nun gibt es ja eine Default Domain Controller Policy - es gibt aber keine 'Nicht-Mitglied in einer Gruppe'


Ich hab mir die verschiedenen Tipps auf gruppenrichtline.de schon angesehn nur ist dies ev. eine Eigenheit von Windows Server 2008?

Oder ist mein Server im Bezug auf lokale(auf Server) Admineinstellungen falsch konfiguriert?

Ich glaub ich hab hier irgendwo was übersehen - kann mir wer auf die Sprünge helfen?

Content-ID: 125202

Url: https://administrator.de/forum/lokale-gruppenrichtline-greift-auch-am-dc-125202.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

DerWoWusste
DerWoWusste 17.09.2009 um 16:22:07 Uhr
Goto Top
Wie wär's denn, eine Extrapolicy zu verwenden, die nicht auf die gesamte Domäne gelinkt ist oder aber in den Sicherheitseinstellungen also vom DC nicht lesbar eingestuft ist?
Kentarion
Kentarion 17.09.2009 um 16:45:21 Uhr
Goto Top
Ja, genau sowas hab ich mir auch vorgestellt - nur halt als Art 'Notlösung'

Ich denke das Problem müssten ja einige hier haben wenn sie lokale Adminrechte per GP verteilen das sich das auch auf den DC auswirkt und diese dann am DC lokale Adminrechte haben.

Soweit ich mich entsinne ist davon nichts auf gruppenrichtline.de beschrieben. Gabs dieses Problem einfach nicht unter Win 2003?

Als Test hatte ich mal eine Policy erstellt angewendet und dann händisch am Server den Eintrag entfernt. Nur wird dies ja alle 90 min(?) wieder frisch abgeholt (sofern Änderung der Policy richtig?)
Also zu riskant. Das das wieder überschrieben wird.

Ich möchte die Policy auf der gesamten Domäne laufen lassen, da die Computer nicht zwingend personengebunden sind. Befindet sich also eine Person in der Gruppe und meldet sich auf einem X-Beliebigen Rechner an soll die GP ziehn.

--> ...als vom DC nicht lesbar...
Wo kann ich das tun? Ich finde nur wie ich DC only verknüpfen kann - also nur und oder oder aber kein nicht (hehe wenn das kein Infromatikersatz is)
DerWoWusste
DerWoWusste 17.09.2009 um 19:08:35 Uhr
Goto Top
--> ...also vom DC nicht lesbar...
Wo kann ich das tun?
Wie beschrieben, in den Sicherheitseinstellungen der Policy. Diese sind unterhalb der Eigenschaftenanzeige der Policy zu finden.
Kentarion
Kentarion 18.09.2009 um 10:11:06 Uhr
Goto Top
gracias!

habs gefunden auf domänencomputer umgestellt und nun wirds nicht mehr am dc übernommen!

herzlichen dank.