Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Verfolgung starten Optionen

Probleme mit Gruppenrichtlinien

Duke@Nukem / 2 Antworten / Baumansicht Nickles

Hallo Nickles Gemeinde,

ich habe folgendes Problem. In meiner Domäne sind 3 Domänencontroller und 1 Memberserver. Dieser Memberserver bietet Terminaldienste für die Clientrechner der Außenstellen. Damit diese den Server nicht herunterfahren können, habe ich in der lokalen Richtlinie (aufgerufen über gpedit.msc)dieses Memberservers, den Herunterfahren Button deaktiviert.

Nun möchte ich aber, dass wenn der Administrator sich mit Remote Desktop aufwählt, dieser den Button bekommt.

Frage 1: Wo liegt der Unterschied zwischen lokale Richtlinie über gpedit.msc und lokale Richtlinie über secpol.msc ?

Wenn ich über secpol.msc aufrufen könnte ich die Benutzer auswählen, bei denen der Button gesperrt werden soll. Leider ist dieser Punkt ausgegraut. Vermutlich wird es von einer Gruppenrichtlinie überschrieben.

Frage 2: Ich hatte alternativ überlegt auf dem DC mit dem Tools GPMC eine Gruppenrichtlinie zu erstellen. Die Frage ist nun wie ich das anstellen muss, damit ich bestimmte Benutzer, beim Anmelden an nur diesem einen Rechner, konfigurieren kann.

Meine Idee war eine OU zu erstellen, zu der nur der betroffene Server gehört. Wie kann ich aber in der Gruppenrichtlinie selbst einstellen, welche Benutzer betroffen sind ? Der Admin soll ja weiterhin den Button haben.

Viele Fragen, aber vielleicht hat ja jemand eine Idee ....

Gruß
Duke

elblindo Duke@Nukem „Probleme mit Gruppenrichtlinien“
Optionen

Hallo Duke,

Gruppenrichtlinien enthalten immer eine Computer-Konfiguration und eine Benutzerkonfiguration. Wie aus den Namen schon ablesbar, wirken die Einstellungen, die du unter Computer-Konfiguration vornehmen kannst, auf alle Rechner, die sich unterhalb der OU befinden, in der du die Policy aktivierst. Die Benutzer-Konfigurationseinstellungen, die du innerhalb der Policy vornimmst, wirken hingegen auf alle Benutzer, die sich an Maschinen anmelden, die unterhalb der OU liegen. Entsprechend kannst du manche Einstellungen nur in den Computer-Einstellungen, andere nur in den Benutzereinstellungen und manche unter beiden Abschnitten definieren. Soweit zur Theorie und Verständnis, da man mit den Gruppenrichtlinien auch unerwünschte Nebeneffekte erzeugen kann.
Für dein Problem ist die Lösung aber relativ einfach und eindeutig: Lege eine OU an, verschiebe den Memberserver im AD dahin, generiere eine Gruppenrichtlinie, die im Abschnitt Computer Konfiguration --> Windows-Einstellungen-->Sicherheitseinstellungen-->Lokale Richtlinien-->Zuweisen von Benutzerrechten in den Einträgen für "Erzwingen des Herunterfahrens von einem Remotesystem aus" und "herunterfahren des Systems" nur die Gruppe der Lokalen Administratoren des Memberservers enthält. Vergewissere dich, dass die Domänenadmins in der Gruppe der lokalen Admins enthalten sind. Dann kannst du das ganze ausprobieren. Sollte etwas nicht deinen Wünschen entsprechen, ändere die Policy. Die Auswirkungen einer Policy stellen sich erst nach einer gewissen Zeit ein, wenn der Server wieder mal nach Änderungen an denselben beim Domänenkontroller nachgefragt hat. Du kannst aber mit dem Befehl "gpupdate" eine sofortige Aktualsierung erzwingen.

Gruss

Elblindo

GarfTermy Duke@Nukem „Probleme mit Gruppenrichtlinien“
Optionen

das hat zunächst nix mit der computer- oder benutzerseite in den gpo zu tun, sondern mit der reihenfolge, in der richtlinien abgearbeitet werden.

erst dann kommt die benutzer- oder computerseite, einstellungen wirken dann auf eben diese seite.

richtig ist also - ohne jetzt weiter die details auseinanderzunehmen - eine gpo zu erstellen, die NICHT lokal, sondern auf...

-der domäne
-einer ou

...wirkt.

"...Meine Idee war eine OU zu erstellen, zu der nur der betroffene Server gehört...."

das geht sowohl für benutzer, als auch für computer.

lesestoff und mehr details?

www.gruppenrichtlinien.de

;-)