Benutzer mit den meisten Antworten
Win2K8 - AD - Gruppenrichtlinie - lokaler Admin

Frage
-
Hallo zusammen,
ich bräuchte mal eure Hilfe.
Ich habe hier einen Benutzer, dem ich gerne auf jedem Rechner in der AD Domäne lokale Adminrechte verpassen würde. Generell kein Problem. Gruppenrichtlinie erstellen und fertig. Nun hätte ich aber gerne, dass auf den diversen Clients die bis dato eingetragenen Benutzer mit lokalen Adminrechten vorhanden bleiben. Leider lässt sich dies nicht global via Gruppenrichtlinie einstellen. Es sind immer mal wieder nur einzelne Clients die das Ganz benötigen.
Da ich mir nicht vorstellen kann, dass ich der einzigste bin der vor diesem Problem steht/stand, bitte ich um eure Hilfe.Gruß & Danke im Voraus
Bacon_Royal
Antworten
-
Hallo Bacon_Royal
Seit der Einführung vom Advanced Group Policy Management (aktuell AGPM 4.0 http://technet.microsoft.com/en-us/library/ee382452.aspx) kann man die GPO's besser für einzelne Anforderungen nutzen.
Neben den üblichen Möglichkeiten stehen unteranderem auch die Group Policy Prefeneces zur Verfügung.Vorgehen:
GPO bearbeiten (oder neue erstellen)
Benutzerkonfiguration > Einstellungen > Systemsteuerung > Lokale Benutzer und Gruppen
Rechte Maustaste > Neue Gruppe
Wenn Du im ersten Register alles notwendige angegeben hast, kannst Du im Register "Gemeinsam" mittles der Option "Zielgruppenadressierung auf Elementebene" (letzte Option) die Adresssierung definieren. Unteranderm kannst Du genau definieren, welcher Benutzer es sein muss, und an welchem Computer die Richtlinie wirken soll.Wichtig: solltest Du WinXP einsetzen muss zuerst der Hotfix KB943729 (http://support.microsoft.com/kb/943729/de) auf den Clienst installiert sein. Sonst kann XP mit den GPP nichts anfangen.
Das ganze ist zwar nett, aber im Falle von Änderungen (z.B. neuer PC für Benutzer) muss man immer daran denken, dass man etwas spezielles eingerichtet hat. Zu dem kann die Administration aufwendigt werden, je mehr solche Ausnahmen man hat.
Weiter ist es nicht immer ganz durchsichtig, wann man nun welche Option "Erstellen", "Ersetzen", "Aktualisieren" oder "Löschen" benutzen muss. Aber wenn Du ordentlich testes und mit der Hilfe von diversen Foren, wirst Du sicher zum Ziel kommen.Viel Glück
DecoCH- Als Antwort markiert Bacon Royal Donnerstag, 18. August 2011 05:55
Alle Antworten
-
Howdie!Am 17.08.2011 10:56, schrieb Bacon Royal:> ich bräuchte mal eure Hilfe.> Ich habe hier einen Benutzer, dem ich gerne auf jedem Rechner in der AD> Domäne lokale Adminrechte verpassen würde. Generell kein Problem.> Gruppenrichtlinie erstellen und fertig. Nun hätte ich aber gerne, dass> auf den diversen Clients die bis dato eingetragenen Benutzer mit lokalen> Adminrechten vorhanden bleiben. Leider lässt sich dies nicht global via> Gruppenrichtlinie einstellen. Es sind immer mal wieder nur einzelne> Clients die das Ganz benötigen.HilftSektion a), Beispiel 2?Cheers,Florian
The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else. -
Hallo Bacon_Royal
Seit der Einführung vom Advanced Group Policy Management (aktuell AGPM 4.0 http://technet.microsoft.com/en-us/library/ee382452.aspx) kann man die GPO's besser für einzelne Anforderungen nutzen.
Neben den üblichen Möglichkeiten stehen unteranderem auch die Group Policy Prefeneces zur Verfügung.Vorgehen:
GPO bearbeiten (oder neue erstellen)
Benutzerkonfiguration > Einstellungen > Systemsteuerung > Lokale Benutzer und Gruppen
Rechte Maustaste > Neue Gruppe
Wenn Du im ersten Register alles notwendige angegeben hast, kannst Du im Register "Gemeinsam" mittles der Option "Zielgruppenadressierung auf Elementebene" (letzte Option) die Adresssierung definieren. Unteranderm kannst Du genau definieren, welcher Benutzer es sein muss, und an welchem Computer die Richtlinie wirken soll.Wichtig: solltest Du WinXP einsetzen muss zuerst der Hotfix KB943729 (http://support.microsoft.com/kb/943729/de) auf den Clienst installiert sein. Sonst kann XP mit den GPP nichts anfangen.
Das ganze ist zwar nett, aber im Falle von Änderungen (z.B. neuer PC für Benutzer) muss man immer daran denken, dass man etwas spezielles eingerichtet hat. Zu dem kann die Administration aufwendigt werden, je mehr solche Ausnahmen man hat.
Weiter ist es nicht immer ganz durchsichtig, wann man nun welche Option "Erstellen", "Ersetzen", "Aktualisieren" oder "Löschen" benutzen muss. Aber wenn Du ordentlich testes und mit der Hilfe von diversen Foren, wirst Du sicher zum Ziel kommen.Viel Glück
DecoCH- Als Antwort markiert Bacon Royal Donnerstag, 18. August 2011 05:55
-
Das Ganze funktioniert auc mit Administratoren/"Administrators".
Cheers,
Florian
The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else. -
Howdie DecoCH,
AGPM ist ein eigenständiges Produkt aus dem MDOP (Microsoft Desktop Optimization Package). Group Policy Preferences, die du da ansprichst, sind im Betriebssystem bereits enthalten und benötigen AGPM nicht. Preferences sind somit "kostenfrei" und unabhängig. Man braucht AGPM nicht als Voraussetzung für GP Preferences.
Florian
The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else. -
Am 17.08.2011 schrieb Bacon Royal:
Es gibt leider auch heute immernoch diverse Programme die diese Rechte vorrausetzen.
Dann versuche herauszufinden, wo genau es hakt. Mit Hilfe von dem
ProcessMonitor solltest Du es in wenigen Minuten hinkriegen.
http://www.gruppenrichtlinien.de/HowTo/MusicMatch_als_Benutzer_ausfuehren.htmServus
Winfried
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/