Probleme mit lokale Gruppenrichtlinien erstellen

HONKITONKI

Lt. Commander
Registriert
Mai 2003
Beiträge
1.179
Hallo,
ich habe folgendes Problem. Ich möchte für einen 2003 Server lokale Gruppenrichtlinien erstellen, so das alle normalen Nutzer in ihren Möglichkeiten und Rechten beschränkt sind.
Habe auch schon mit gpedit die richtige Konsole auf und kann die Rechte setzen und beschränken.
Leider wirkt sich das auch auf die Admin Anmeldung aus, so das der dann auch nichts mehr darf.
Habe schon eine Möglichkeit mit der Registry.pol gefunden, die funktioniert aber leider nur unter 2000 und xp, 2003 zeigt sich davon aber unbeeindruckt.
Wie schaffe ich das nun das der Admin davon ausgenommen wird?
 
Das Versteh ich nicht ganz die Rechte die du in den Gruppenrichtlinien einstellst bezieht sich doch auch nur auf die User in der Gruppe ist der Administrator da auch Mitglied oder wieso wirken sich die Einstellungen auf den Administrator aus?
 
Das verstehe ich auch nicht. Ich habe ein sehr ähnliches Problem:

OS: Win2k Prof.
Problem: Das Kennwort des Administrators ist mir unbekannt. Ich habe nur einen Acc als Hauptbenutzer. Mit dem Programm The Offline NT Password & Registry Editor komme ich auch nicht viel weiter, da Win beim Anmelden den Benutzernamen Administrator gar nicht mehr kennt. Der Admin ist also gar kein Admin mehr sonder ist ihrgendwie gesperrt worden. Gib es nicht eine DOS Befehl um User anzlegen und die Rechte anders zu verteilen?

Ich bitte um Antwort.

Sorry, wenn ich dir nicht direkt helfen konnte!
 
Indem du den Admin aus der Gruppe der Benutzer entfernst: Verweigerungen haben immer vorrang vor Berechtigungen.

Guck mit
net localgroup benutzer
nach, ob da irgendwelche Admins auch Mitglied in der Benutzergruppe sind. Wenn das bei Hermann der Fall ist, entfernst du dessen Zugehörigkeit mit
net localgroup benutzer Hermann /delete

Möglicherweise gehört Herman aber auch noch anderen Gruppen an, die du selbst erstellt hast. Das kannst du mit
net user herman
nachvollziehen, unter Lokale Gruppenmitgliedschaften sind alle Gruppen angeführt, zu denen Herman gehört.

Einen Überblick über vorhandene Gruppen bietet der Befehl
net localgroup

J3x
 
@acme
tcha warum sich die Einstellungen auf den Administrator auswirken weiß ich ja ebend auch nicht.
Bei NT konnte man die Gruppenrichtlinien genau Usern zuordnen, das vermisse ich bei der Konsole die ich mit gpedit.msc aufrufen kann.
Der Administrator taucht übrigends nur bei den Administratoren und nicht bei den Benutzern oder sonst wo auf.
Hab schon den ganzen Tag über gesucht, finde aber nur Anleitungen wie ich Rechte über den DC zuordne, das will ich aber nicht soll halt nur für diesen einen Rechner sein.
Könnt ja mal schaun ob ihr was findet vieleicht bin ich vor lauter Einstellungen zu Blöd das zu finden, der Befehl geht ja auch unter xp und 2000.
 
Überprüfe mal die Einstellungen für die Benutzerrechte für den Ordner :

%systemroot%\System32\Group Policy

Hier ist die Stelle, an der man die Gruppenrichtlinien aushebeln kann (als Admin... logisch), indem man den Benutzern, auf die die Gruppenrichtlinien nicht angewendet werden sollen, keinen Zugriff auf diesen Ordner gibt, in dem die Anwendung der Gruppenrichtlinien gesteuert wird. Man muss sich das vorstellen wie das Prinzip der doppelten Verneinung. Anders ausgedrückt : Wenn du dem Admin (oder einem anderen) den Zugriff auf diesen Ordner verweigerst, können die Restriktionen der Gruppenrichtlinien auch nicht auf ihn angewendet werden.
 
Zuletzt bearbeitet:
Noch ein Ansatz:
Start / Ausführen /mmc

Datei / snap-in hinzufügen-entfernen / hinzufügen / Richtlinienergebnissatz/ hinzufügen / schließen / ok /
Richtlinenergebnissatz markieren / Aktion / Richtlinenergebnisssatz generieren / weiter / weiter / weiter / anderen Benutzer / Administrator auswählen / weiter /fertigstellen

Danach kannst ganz genau nachsehen, welche Richtlinien für den Administrator gelten. Bei Bedarf weitere Richtlinienergebnisssätze für weitere Benutzer hinzufügen. Die Fertige Konsole dann als "richtlinien.msc" oder ähnlichem für zukünftige Aktionen speichern.

J3x
 
Bei 2003-Server mit Active Directory in einer Domäne kann man die einzelnen Usergruppen bezüglich ihrer Einschränkungen mit den Gruppenrichtrlinien für die einzelnen Domänenrechner differenziert behandeln. Ein Problem hat man dann, wenn man z.B. auf einem einzelnen XP-Pro-Rechner mit den Gruppenrichtlinien bestimmte Restriktionen durchführt, weil diese Restriktionen zunächstmal für alle gelten, auch für den Admin. Wenn ich z.B. den Ausführen-Dialog über gpedit.msc verstecke, dann steht dieser auch für den Admin nicht mehr zur Verfügung. Warum Microsoft den lokalen Admin hier mit einbezieht ist fragwürdig und macht ja nur in einer Domäne Sinn, wo der Domänen-Admin auch die lokalen Admins kontrollieren möchte. In diesem Fall hilft auch der Richtlinienergebnissatz nicht weiter, weil er ja die Restriktionen nicht aufheben, sondern nur anzeigen kann. Lokal geht das Aufheben nur für alle oder für keinen. In dieser Zwickmühle hilft dann der Trick mit der doppelten Verneinung.
 
Zurück
Oben