9
GPO nicht auf Domänenconroler anwenden
Hallo,
ich habe das Problem, dass Benutzerrichtlinien auf den Domänencontroler angewendet werden wenn "authentifizierter Benutzer" eingetragen ist.
Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Vielen DANK.!
ich habe das Problem, dass Benutzerrichtlinien auf den Domänencontroler angewendet werden wenn "authentifizierter Benutzer" eingetragen ist.
Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Vielen DANK.!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 647060
Url: https://administrator.de/contentid/647060
Printed on: April 16, 2024 at 19:04 o'clock
9 Comments
Latest comment
Moin,
du hast eine rhetorische Frage gestellt, das ist mir im Forum hier bisher noch nicht untergekommen.
Du erkennst nach einer Mütze Schlaf sicherlich wieso.
VG
wenn "authentifizierter Benutzer" eingetragen ist.
Wie kann ich verhindern...
Wie kann ich verhindern...
du hast eine rhetorische Frage gestellt, das ist mir im Forum hier bisher noch nicht untergekommen.
Du erkennst nach einer Mütze Schlaf sicherlich wieso.
VG
2
Moin
ich habe das Problem, dass Benutzerrichtlinien auf den Domänencontroler angewendet werden wenn "authentifizierter Benutzer" eingetragen ist.
Kenn dein AD Design nicht , aber du wird die GPO falsch eingehängt haben.
Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Mit der Funktion eines Windows AD ausgiebig auseinander setzen und dann die GPO entsprechend korrekt zuweisen.
Vielleicht verrätst du uns was für eine GPO das ist und was sie bezwecken soll. Dann kann man auch gezielter antworten.
Vielen DANK.!
Gruss
Moin,
Siehe auch hier: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtli ...
Da findest du das Vorgehen Schritt für Schritt erklärt.
VG
Zitat von @Netzworker9:
Hallo,
ich habe das Problem, dass Benutzerrichtlinien auf den Domänencontroler angewendet werden wenn "authentifizierter Benutzer" eingetragen ist.
Das ist erstmal kein Problem, sondern das logische Verhalten. Auch der Administrator ist ein authentifizierter Benutzer und auch der Domaincontroller ist ein Server.Hallo,
ich habe das Problem, dass Benutzerrichtlinien auf den Domänencontroler angewendet werden wenn "authentifizierter Benutzer" eingetragen ist.
Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Das kannst du verhindern, in dem du die GPOs korrekt zuweist. Wendest du die GPOs auf alle Computer in der Domäne an, greifen sie auch auf jedem Computer in der Domäne... Also solltest du deine DCs am besten in eine eigene OU packen...Siehe auch hier: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtli ...
Da findest du das Vorgehen Schritt für Schritt erklärt.
Vielen DANK.!
Keine Ursache...VG
1
Hallo,
vielen Dank für die Hilfe.
Meine PCs sind in OUs. Auf diese wirken GPOs als Computerrichtlinien. Computerrichtlinien sind nur mit OUs verknüpft, die PCs enthalten auf die sie wirken sollen. Also auch nicht der DC.
Die Benutzerrichtlinen sind mit den Benutzern verknüpft und in deren OUs.
Nun ist der Administrator ja auch ein Benutzer.
Obwohl dieser nicht in den entsprechenden OUs ist werden am DC Benutzerrichtlinen angewendet wenn ich mich als Administrator am DC anmelde.
Vielen Dank.
vielen Dank für die Hilfe.
Meine PCs sind in OUs. Auf diese wirken GPOs als Computerrichtlinien. Computerrichtlinien sind nur mit OUs verknüpft, die PCs enthalten auf die sie wirken sollen. Also auch nicht der DC.
Die Benutzerrichtlinen sind mit den Benutzern verknüpft und in deren OUs.
Nun ist der Administrator ja auch ein Benutzer.
Obwohl dieser nicht in den entsprechenden OUs ist werden am DC Benutzerrichtlinen angewendet wenn ich mich als Administrator am DC anmelde.
Vielen Dank.
Moin Netzworker9,
Das dürfte eigentlich nicht möglich sein. Poste doch bitte hier einmal einen Screenshot dein OU-Struktur und der GPO die angewandt wird. Ansonsten kosten OUs kein Geld und müssen nicht lizensiert werden. Pack den Administrator in eine eigene OU oder gibt es Gründe wieso er in den Benutzern ist? Er ist ja schließlich kein Benutzer im eigentlichen Sinne.
Gruß
Doskias
Zitat von @Netzworker9:
Obwohl dieser nicht in den entsprechenden OUs ist werden am DC Benutzerrichtlinen angewendet wenn ich mich als Administrator am DC anmelde.
Obwohl dieser nicht in den entsprechenden OUs ist werden am DC Benutzerrichtlinen angewendet wenn ich mich als Administrator am DC anmelde.
Das dürfte eigentlich nicht möglich sein. Poste doch bitte hier einmal einen Screenshot dein OU-Struktur und der GPO die angewandt wird. Ansonsten kosten OUs kein Geld und müssen nicht lizensiert werden. Pack den Administrator in eine eigene OU oder gibt es Gründe wieso er in den Benutzern ist? Er ist ja schließlich kein Benutzer im eigentlichen Sinne.
Gruß
Doskias
Moin,
Ist der Admin in einer OU der Benutzer?
Nein, ein Admin ist ein Admin ist ein Admin. Er ist kein Benutzer.(1) Deshalb gehört er auch nicht in die OU der Benutzer. In meinen ADs gibt es immer eine OU admins auf oberster Ebene außerhalb aller anderen Strukturen. Da gehören die rein.
Wer ist "dieser"? Der Admin? Oder der DC?
Wenn der Admin nicht in der OU ist, dann werden auch nicht die GPOs, die auf die OU wirken, angewandt. Oder er ist doch in der OU. Oder die GPO ist auch mit der OU verknüpft, in der der Admin ist.
Liebe Grüße
Erik
(1) Technisch ist er das sicherlich. Aber nicht logisch.
Die Benutzerrichtlinen sind mit den Benutzern verknüpft und in deren OUs.
Ist der Admin in einer OU der Benutzer?
Nun ist der Administrator ja auch ein Benutzer.
Nein, ein Admin ist ein Admin ist ein Admin. Er ist kein Benutzer.(1) Deshalb gehört er auch nicht in die OU der Benutzer. In meinen ADs gibt es immer eine OU admins auf oberster Ebene außerhalb aller anderen Strukturen. Da gehören die rein.
Obwohl dieser
Wer ist "dieser"? Der Admin? Oder der DC?
nicht in den entsprechenden OUs ist werden am DC Benutzerrichtlinen angewendet wenn ich mich als Administrator am DC anmelde.
Wenn der Admin nicht in der OU ist, dann werden auch nicht die GPOs, die auf die OU wirken, angewandt. Oder er ist doch in der OU. Oder die GPO ist auch mit der OU verknüpft, in der der Admin ist.
Liebe Grüße
Erik
(1) Technisch ist er das sicherlich. Aber nicht logisch.
N'Abend.
Cheers,
jsysde
Zitat von @Netzworker9:
Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Entweder die GPOs mit den User-Richtlinien nicht aufs Domain-Root verlinken und/oder DCs per WMI-Filter aus der GPO-Anwendung herausfiltern.Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Cheers,
jsysde
Zitat von @jsysde:
N'Abend.
Cheers,
jsysde
Würde anstatt der WMI-Filterung nicht eigentlich die Filterung auf der Rechteebene reichen? Ich glaube das nennt sich doch "Sicherheitsfilterung" in dem MMC-Snaping? Also wenn man den DC oder ein anderen Objekt nict drin (GPO wird aungewendet auf) haben will, dann einfach in der Sicherheitsfilterung dieses objekt nur mit "Lesen" berechtigen oder habe ich da was falsch verstnden?N'Abend.
Zitat von @Netzworker9:
Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Entweder die GPOs mit den User-Richtlinien nicht aufs Domain-Root verlinken und/oder DCs per WMI-Filter aus der GPO-Anwendung herausfiltern.Wie kann ich verhindern, dass benutzerrichtlinien beim Anmelden als Administrator über RDC am Domänencontroler angewendet werden.
Cheers,
jsysde
Klingt etwas merkwürdig. Wenn der Administrator nicht in einer Gruppe steckt, welche in einer Deiner OUs enthalten ist und auch keine Loopbackfunktion verantwortlich ist, sollte dass so nicht auftreten.
Du könntest aber zur not den Administrator in der GPO unter "Sicherheit" hinzufügen und bei "Gruppenrichtlinie übernehmen" verweigern wählen... Damit wäre zumindest das Problem gelöst - die Ursache solltest Du auf Dauer aber besser trotzdem herausfinden...
Viele Grüße!
Du könntest aber zur not den Administrator in der GPO unter "Sicherheit" hinzufügen und bei "Gruppenrichtlinie übernehmen" verweigern wählen... Damit wäre zumindest das Problem gelöst - die Ursache solltest Du auf Dauer aber besser trotzdem herausfinden...
Viele Grüße!
