15
Wie Gruppenrichtlinien ohne DC einer Gruppe zweisen?
Hallo Zusammen, ich stecke grade in der Rechtevergabe fest.
Ich habe auf meinem Bare-Metal Win22Server keinen DC installiert, das nur sehr wenige User drauf zugfreifen.
Jetzt haben wir aber einen neuen MItarbeiter, den ich als Benutzer angelegt habe und der per VPN und RDP auf die Maschine kommt.
Nun kann ich ja obwohl ich keinen DC habe mittels gpedit.msc fröhlich Berechtigungen aktivieren und einstellen.
Aber ich komme einfach nicht weiter, dass ich dann diese Berechtigung auch einem User bzw. einer Gruppe zuweise.
Ich dachte ich kann das dann unter dem anderen Tool "lokale Sicherheitsrichtlinie" und darin "zuweisen von Benutzerrechten" machen, aber da tauchen die Einstellungen von gpedit nicht auf.
Ich möchte z. B. dass dem Benutzer das Laufwerk C: im Explorer nicht angezeigt wird.
Das muss doch irgendwie gehen, oder?
Dank Euch schön
Andi
Ich habe auf meinem Bare-Metal Win22Server keinen DC installiert, das nur sehr wenige User drauf zugfreifen.
Jetzt haben wir aber einen neuen MItarbeiter, den ich als Benutzer angelegt habe und der per VPN und RDP auf die Maschine kommt.
Nun kann ich ja obwohl ich keinen DC habe mittels gpedit.msc fröhlich Berechtigungen aktivieren und einstellen.
Aber ich komme einfach nicht weiter, dass ich dann diese Berechtigung auch einem User bzw. einer Gruppe zuweise.
Ich dachte ich kann das dann unter dem anderen Tool "lokale Sicherheitsrichtlinie" und darin "zuweisen von Benutzerrechten" machen, aber da tauchen die Einstellungen von gpedit nicht auf.
Ich möchte z. B. dass dem Benutzer das Laufwerk C: im Explorer nicht angezeigt wird.
Das muss doch irgendwie gehen, oder?
Dank Euch schön
Andi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6454109303
Url: https://administrator.de/contentid/6454109303
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
gpedit.msc ist für die lokalen Gruppenrichtlinien.
Betrifft also die Nutzer die sich an dem Gerät anmelden.
Mal von der Lizenzfrage abgesehen ... ist das das falsche Vorgehen.
Grüße
gpedit.msc ist für die lokalen Gruppenrichtlinien.
Betrifft also die Nutzer die sich an dem Gerät anmelden.
Mal von der Lizenzfrage abgesehen ... ist das das falsche Vorgehen.
Grüße
Hi
Ich habe auf meinem Bare-Metal Win22Server keinen DC installiert, das nur sehr wenige User drauf zugfreifen.
Äh... Du meinst, wenn ein User sich an einem PC anmeldet, dann verwendet er den lokalen User aka ".\USER" oder verwendet ihr Microsoft-User?Jetzt haben wir aber einen neuen MItarbeiter, den ich als Benutzer angelegt habe und der per VPN und RDP auf die Maschine kommt.
Nun kann ich ja obwohl ich keinen DC habe mittels gpedit.msc fröhlich Berechtigungen aktivieren und einstellen.
Aber eben nur auf der einen Maschine wo du die GPO anpasstNun kann ich ja obwohl ich keinen DC habe mittels gpedit.msc fröhlich Berechtigungen aktivieren und einstellen.
Aber ich komme einfach nicht weiter, dass ich dann diese Berechtigung auch einem User bzw. einer Gruppe zuweise.
meinst du eventuell das? Macht halt irgendwie nicht viel Sinn, weil aufwändig das für jede Maschine extra zu machen.Ich dachte ich kann das dann unter dem anderen Tool "lokale Sicherheitsrichtlinie" und darin "zuweisen von Benutzerrechten" machen, aber da tauchen die Einstellungen von gpedit nicht auf.
Ich möchte z. B. dass dem Benutzer das Laufwerk C: im Explorer nicht angezeigt wird.
Das muss doch irgendwie gehen, oder?
Ja geht auch Ich möchte z. B. dass dem Benutzer das Laufwerk C: im Explorer nicht angezeigt wird.
Das muss doch irgendwie gehen, oder?
Danke für die Antworten.
Ich meine dass sich der User nur als Benutzer per RDP am Server anmeldet.
Die Rechte auf seinem Client-Gerät sind mir egal.
Wenn ich als Admin mmc ausführe, erscheint eine Fehlermeldung dass ich nicht in einer Domäne angemeldet bin. Es war aber noch nie eine Domäne erstellt oder ein DC installiert.
Mir geht's nur um den Desktop, den der User dann unter der RDP-Session gezeigt bekommt.
Microsoft Konten verwenden wir nicht.
Unter gpedit kann ich zwar Richtlinien aktivieren, aber in keiner Weise zuweisen.
Ich meine dass sich der User nur als Benutzer per RDP am Server anmeldet.
Die Rechte auf seinem Client-Gerät sind mir egal.
Wenn ich als Admin mmc ausführe, erscheint eine Fehlermeldung dass ich nicht in einer Domäne angemeldet bin. Es war aber noch nie eine Domäne erstellt oder ein DC installiert.
Mir geht's nur um den Desktop, den der User dann unter der RDP-Session gezeigt bekommt.
Microsoft Konten verwenden wir nicht.
Unter gpedit kann ich zwar Richtlinien aktivieren, aber in keiner Weise zuweisen.
Mal als eben dieser User am Server anmelden und mit dem lokal die Einstellungen vornehmen.
Ich würde trotzdem sagen, ihr solltet euch mal Gedanken über ein AD machen.
Ich würde trotzdem sagen, ihr solltet euch mal Gedanken über ein AD machen.
Zitat von @Andi-75:
Danke für die Antworten.
Ich meine dass sich der User nur als Benutzer per RDP am Server anmeldet.
Die Rechte auf seinem Client-Gerät sind mir egal.
Dann hättest du das auch so schreiben sollen. Alles klar, verstehe!Danke für die Antworten.
Ich meine dass sich der User nur als Benutzer per RDP am Server anmeldet.
Die Rechte auf seinem Client-Gerät sind mir egal.
Wenn ich als Admin mmc ausführe, erscheint eine Fehlermeldung dass ich nicht in einer Domäne angemeldet bin. Es war aber noch nie eine Domäne erstellt oder ein DC installiert.
Also wenn du ein Server-OS installiert hast, dann kannst du auch nicht einfach so die mmc öffnen. Das geht über "Verwaltungstools".
Mir geht's nur um den Desktop, den der User dann unter der RDP-Session gezeigt bekommt.
Unter gpedit kann ich zwar Richtlinien aktivieren, aber in keiner Weise zuweisen.
Unter gpedit kann ich zwar Richtlinien aktivieren, aber in keiner Weise zuweisen.
Ja weil kein AD. Wie soll das auch gehen. Alle User die du anlegst sind lokale User.
Schau dir mal die Funktionsweise von AD an und das NTFS-Berechtigungsmodell.
Ich habe jetzt nur soviel verstanden, dass sich unterschiedliche User am Server anmelden wollen. Das sollte ad hoc möglich sein sobald du mehrere User angelegt hast. Ganz normal wie am PC auch.
Damit sich die via RDP anmelden dürfen müssen die User auch in die BUILTIN-Gruppe "Remote Desktop Users"
Laufwerk C:\ vollständig ausblenden wird nicht gehen. Das ist der Root von allem.
schau mal hier:
https://learn.microsoft.com/de-de/troubleshoot/windows-client/group-poli ...
Moin,
Nein, aber das macht nichts. GPOs und Rechtevergabe sind zwei verschiedene Paar Schuh.
Wenn Du lokale Richtlinien differenzieren willst, musst Du so vorgehen:
https://www.gruppenrichtlinien.de/artikel/gpeditmsc-multi-lokale-richtli ...
hth
Erik
Nein, aber das macht nichts.
GPOs und Rechtevergabe sind zwei verschiedene Paar Schuh.Aber ich komme einfach nicht weiter, dass ich dann diese Berechtigung auch einem User bzw. einer Gruppe zuweise.
Wenn Du lokale Richtlinien differenzieren willst, musst Du so vorgehen:
https://www.gruppenrichtlinien.de/artikel/gpeditmsc-multi-lokale-richtli ...
hth
Erik
Moin.
Meine Vorschreiber haben schon alles gesagt, wie du deinen Usecase abgefrühstückt bekommst.
+1 für das Erstellen eines AD.
Das lohnt sich schon ab drei User meiner Meinung nach.
Denn anfangs sind das noch Kleinigkeiten und hinterher will man mehr und mehr reglementieren.
Du tust dir einen großen Gefallen, wenn du ein AD einrichtest.
Am besten setzt du Hyper-V auf deinem Bare-Metal-Server auf und virtualisierst den DC und den Remote Desktop Server. Vorausgesetzt du hast eine Server Standard lizenziert. Dann darfst du ja zwei virtuelle Instanzen betreiben.
Lizenzen sind vorhanden für Remote Desktop Zugriffe (RDS CALs)? Windows Server CALs vorhanden?
Gruß
Marc
Meine Vorschreiber haben schon alles gesagt, wie du deinen Usecase abgefrühstückt bekommst.
+1 für das Erstellen eines AD.
Das lohnt sich schon ab drei User meiner Meinung nach.
Denn anfangs sind das noch Kleinigkeiten und hinterher will man mehr und mehr reglementieren.
Du tust dir einen großen Gefallen, wenn du ein AD einrichtest.
Am besten setzt du Hyper-V auf deinem Bare-Metal-Server auf und virtualisierst den DC und den Remote Desktop Server. Vorausgesetzt du hast eine Server Standard lizenziert. Dann darfst du ja zwei virtuelle Instanzen betreiben.
Lizenzen sind vorhanden für Remote Desktop Zugriffe (RDS CALs)? Windows Server CALs vorhanden?
Gruß
Marc
2
Moin,
Unsinn. Der in dem von mir geposteten Artikel beschriebene Weg funktioniert auf jedem Server ob mit oder ohne Domain. Selbstverständlich kann man mmc.exe ganz normal über die Kommandozeile ausführen.
Ja weil kein AD. Wie soll das auch gehen. Alle User die du anlegst sind lokale User.
Wie gesagt: Auch mit lokalen GPOs ist es möglich, nach Gruppen und Usern zu differenzieren. Man muss nur wissen, wie.
Liebe Grüße
Erik
Zitat von @mayho33:
Also wenn du ein Server-OS installiert hast, dann kannst du auch nicht einfach so die mmc öffnen. Das geht über "Verwaltungstools".
Wenn ich als Admin mmc ausführe, erscheint eine Fehlermeldung dass ich nicht in einer Domäne angemeldet bin. Es war aber noch nie eine Domäne erstellt oder ein DC installiert.
Also wenn du ein Server-OS installiert hast, dann kannst du auch nicht einfach so die mmc öffnen. Das geht über "Verwaltungstools".
Unsinn. Der in dem von mir geposteten Artikel beschriebene Weg funktioniert auf jedem Server ob mit oder ohne Domain. Selbstverständlich kann man mmc.exe ganz normal über die Kommandozeile ausführen.
Mir geht's nur um den Desktop, den der User dann unter der RDP-Session gezeigt bekommt.
Unter gpedit kann ich zwar Richtlinien aktivieren, aber in keiner Weise zuweisen.
Unter gpedit kann ich zwar Richtlinien aktivieren, aber in keiner Weise zuweisen.
Ja weil kein AD. Wie soll das auch gehen. Alle User die du anlegst sind lokale User.
Wie gesagt: Auch mit lokalen GPOs ist es möglich, nach Gruppen und Usern zu differenzieren. Man muss nur wissen, wie.
Liebe Grüße
Erik
Hi und Dank Euch.
Mit der Anleitung von Erik oben bin ich jetzt weitergekommen.
Ich muss mir hier nur per Snap-In die Richtlinenobjekte genau des Benutzers einfügen und kann sie dann bearbeiten.
Wie es für eine Gruppe ginge, hab ich noch nicht rausbekommen.
AD habe ich bis jetzt nicht gemacht da:
- Nur ein Win22Server Essentials (also max. 1 VM und der Baremetal darf nur VM-Host sein)
- DC sollte nicht auf einer VM laufen habe ich gelesen
- DC sollte dann ohne weitere Dienste auf einem Server laufen
- DC sollte immer mit einem zweiten DC auf sep. Hardware abgesichert werden
RDS-CALS und User-CALS wären aber genügend vorhanden.
Mit der Anleitung von Erik oben bin ich jetzt weitergekommen.
Ich muss mir hier nur per Snap-In die Richtlinenobjekte genau des Benutzers einfügen und kann sie dann bearbeiten.
Wie es für eine Gruppe ginge, hab ich noch nicht rausbekommen.
AD habe ich bis jetzt nicht gemacht da:
- Nur ein Win22Server Essentials (also max. 1 VM und der Baremetal darf nur VM-Host sein)
- DC sollte nicht auf einer VM laufen habe ich gelesen
- DC sollte dann ohne weitere Dienste auf einem Server laufen
- DC sollte immer mit einem zweiten DC auf sep. Hardware abgesichert werden
RDS-CALS und User-CALS wären aber genügend vorhanden.
Zitat von @Andi-75:
Hi und Dank Euch.
Mit der Anleitung von Erik oben bin ich jetzt weitergekommen.
Ich muss mir hier nur per Snap-In die Richtlinenobjekte genau des Benutzers einfügen und kann sie dann bearbeiten.
Wie es für eine Gruppe ginge, hab ich noch nicht rausbekommen.
Hi und Dank Euch.
Mit der Anleitung von Erik oben bin ich jetzt weitergekommen.
Ich muss mir hier nur per Snap-In die Richtlinenobjekte genau des Benutzers einfügen und kann sie dann bearbeiten.
Wie es für eine Gruppe ginge, hab ich noch nicht rausbekommen.
Genauso. Wenn Du Gruppen hast, werden die beim Einrichten des Snap-Ins mit angezeigt dort, wo Du auch einzelne User aussuchen kannst.
Wenn Du Gruppen hast, werden die beim Einrichten des Snap-Ins mit angezeigt dort, wo Du auch einzelne User aussuchen kannst
Nope. MLGPOs unterscheiden zwischen Admingruppe und Nicht-Admins. Weitere Gruppen sind nicht auswählbar.Zitat von Andi-75:
AD habe ich bis jetzt nicht gemacht da:
AD habe ich bis jetzt nicht gemacht da:
Ist schnell gelernt aufzusetzen. Das Pflegen und Administrieren muss man lernen.
- Nur ein Win22Server Essentials (also max. 1 VM und der Baremetal darf nur VM-Host sein)
Dann fällt die Hyper-V Nummer weg.
- DC sollte nicht auf einer VM laufen habe ich gelesen
Läuft stabil in virtuellen Umgebungen. Alternativ kaufst du dir einen alten HP T630 Thin Client und installierst dort den DC drauf. Reicht für kleinere Umgebungen locker aus.
- DC sollte dann ohne weitere Dienste auf einem Server laufen
Der DHCP und der DNS Dienst können problemlos auf einem DC mitlaufen. Allerdings sollte man Abstand von weiteren Diensten nehmen.
- DC sollte immer mit einem zweiten DC auf sep. Hardware abgesichert werden
Ist gut für das sichere Gefühl und auf jeden Fall eine Empfehlung wert, bei entsprechender Größe der Umgebung.
Für eine handvoll Benutzer würde ich mir das sparen. Dafür müsstest du so oder so mindestens eine neue Lizenz kaufen.
Gruß
Marc
Danke Marc.
Wenn ich jetzt noch finden würde, wo ich für denen lokalen User Netzlaufwerke aufs NAS einrichten kann, wäre es perfekt. Aber das ist jetzt scheinbar ohne Domäne zu viel des Guten.
Muss ich wahrscheinlich dann von Hand unter seinem User-Zugang vornehmen, oder?
Tschau
Andi
Wenn ich jetzt noch finden würde, wo ich für denen lokalen User Netzlaufwerke aufs NAS einrichten kann, wäre es perfekt. Aber das ist jetzt scheinbar ohne Domäne zu viel des Guten.
Muss ich wahrscheinlich dann von Hand unter seinem User-Zugang vornehmen, oder?
Tschau
Andi
Zitat von @Andi-75:
Wenn ich jetzt noch finden würde, wo ich für denen lokalen User Netzlaufwerke aufs NAS einrichten kann, wäre es perfekt. Aber das ist jetzt scheinbar ohne Domäne zu viel des Guten.
Wenn ich jetzt noch finden würde, wo ich für denen lokalen User Netzlaufwerke aufs NAS einrichten kann, wäre es perfekt. Aber das ist jetzt scheinbar ohne Domäne zu viel des Guten.
Wie wäre es mit einem Logon-Skript? Das geht auf jeden Fall.
Hab jetzt was gefunden.
So erscheint der Benutzer-NAS-Ordner im Explorer des Benutzers:
Kann halt nur ein Ziel eingeben, aber wenigstens mal ein Anfang.
So erscheint der Benutzer-NAS-Ordner im Explorer des Benutzers:
Kann halt nur ein Ziel eingeben, aber wenigstens mal ein Anfang.
