none
Log on as a service per GPO RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Liebes Forum,

    ich möchte Domain-User auf einem Domain-Member-Server der lokalen Sicherheits-Richtlinie "Log on as a Service" hinzufügen.
    Theoretisch ist das ja einfach:

    • Computer Configuration
    • Windows Settings
    • Security Settings
    • Local Policies
    • User Rights Assignment

    Doch leider werden die lokalen Einstellungen des betreffenden Servers überschrieben, per GPO werden die User nicht hinzugefügt. Das ist schlecht, denn auf dem Server laufen Dienste mit lokalen Benutzerkonten, die dieses Recht brauchen, durch die GPO werden diese User aber überschrieben und der Dienst kann nicht mehr funktionieren.

    Da die GPO auf mehreren Servern in der Domäne greifen soll, ist ein Hinzufügen der lokalen Benutzer in die GPO nicht hilfreich.

    Wie kann ich eine GPO konfigurieren, so dass die lokalen Einstellungen nicht überschrieben, sondern um die GPO-Einstellungen ergänzt werden?

    Gruß
    Davorin

    Donnerstag, 6. März 2014 10:54
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 06.03.2014 11:54, schrieb Davorin Scharping:

    Wie kann ich eine GPO konfigurieren, so dass die lokalen
    Einstellungen nicht überschrieben, sondern um die GPO-Einstellungen
    ergänzt werden?

    Garnicht. Das ist ein Entweder/Oder. Es gibt auch nicht "ein bischen Schwanger".

    Deswegen packt man idR in so einem Fall keine EinzelBenutzer rein, sondern Gruppen. Wenn du mit 1zu1 Zuweisungen arbeiten möchtest, damit nicht eine Gruppe pauschal das Recht hat, schau dir das mal an, das ist dasselbe Konzept -> %logondomain%\%computername%-LogOnAsAService
    http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 6. März 2014 11:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    ich habe das auf zweierlei Art gelößt.
    Zum einen musste ich auf allen Servern die lokalen Sicherheitsrichtlinien per Hand einstellen.

    Zum anderen habe ich per GPO eine lokale Gruppe "LogOnAsAService" eingerichtet und gleich meinen Domain-User hinzugefügt.
    Diese Gruppe hat das lokale SIcherheitsrecht "Log on as a Service". Nun muss ich nur noch darauf achten, dass alle installierten lokalen User die dieses Recht brauchen, in diese Gruppe kommen.
    Zumindest kann ich nun Domain-User in diese Gruppe verfrachten und diese habe somit das Recht "log on as a Service".

    Danke für deine Hilfe :-)

    Gruß
    Davorin

    Donnerstag, 6. März 2014 14:25
    |