Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Gruppenrichtlinie - Allen Usern local Admin rechte geben?
Hallo ich habe eine Gruppenrichtlinie erstellt wo ich allen Usern die in der Sicherheitsgruppe "praxis-LocalAdmin"sind das die local Admin rechte kriegen, aber trotzdem kriegen sie anscheinend nicht die local admin rechte? hab ich etwas falsch gemacht?
in meinem Ordner Praxis sind nur User drin und die Sicherheitsgruppe, hier sind noch weitere Bilder.
Und in welcher OU sind die Clients? Wenn man eine GPO mit Computerrichtlinien baut, sollte die auch auf die Computer und nicht die User angewandt werden.
Das Ding ist, du hast eine GPO für Computersettings erstellt. Du hast in deiner OU aber die User drin, keine Clients. Die Benutzer greifen sich nur die "Benutzerkonfiguration" in der GPO, welche nicht vorhanden sind, sondern nur die "Computerkonfiguration".
Du hat was im rotem eingestellt, aber die User greifen sich nur die Benutzerkonfiguration (das grüne)
Was du benötigst nennst sich Loopbackverarbeitung. Du möchtest, wenn ein User eine GPO ausführen darf (aufgrund der GPO-Verknüpfung und der entsprechende Berechtigung) dass auch die Computerkonfiguration ausgeführt werden.
Dafür musst du folgendes in der Richtlinie zusätzlich mit einstellen:
@seluce: Loopbackverarbeitung wird in dieser Konstellation wie beim TE nicht funktionieren, da die GPO eine computerbezogene GPO ist (keine benutzerbezogene) & weil die GPO auf eine User-OU gelinkt ist statt einer Computer-OU.
Und selbst wenn in der OU Computer vorhanden wären, würde Loopback keinen Sinn machen da Loopback nur für Benutzer-GPOs gilt.
Und Loopback sollte man nur nutzen, wenn man weiss, was man damit alles anstellen kann und welche tollen Phänomene es gibt. Hier ist das Problem einfach nur die falsche Verlinkung auf User.
Und in welcher OU sind die Clients? Wenn man eine GPO mit Computerrichtlinien baut, sollte die auch auf die Computer und nicht die User angewandt werden.
Wäre richtig. Alles in eine OU finde ich generell nicht sauber.
Schön unterteilen und bitte nicht alles in eine GPO rein (schon oft gesehen dass die default domain policy missbraucht wurde)
So würde ich es machen, bei uns die Systeme sind idR sogar noch mehr unterteilt, sprich eine OU bspw. Mitarbeiter mit darunter den Abteilungen, dann Systeme unterteilt in Clients, Spezialgeräte, Server, Terminalserver, .... das kommt aber ganz auf die Größe der Domäne an, aber so kann man recht sauber und gezielt die Sachen anwenden.
Ich hab die Richtlinie jetzt gelöscht und wollte grad eine neue Anlegen bekomme aber denn Error "ein gruppenrichtlinienobjekt mit diesem namen ist bereits vorhanden" die GPO sehe ich auch nicht mehr?
Weil du nur die Verknüpfung und nicht die GPO gelöscht hast, einfach Rechtsklick auf die Ou mi den Computern und vorhandenes Richtlinienobjekt verknüpfen.
Komme da grad nicht ganz hinterher sorry, das Blatt mit dem Fähnchen hab ich jetzt gelöscht wahrscheinlich die Verknüpfung und wie kann ich jetzt die GPO löschen? Wenn ich auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen gehen kann ich dort die GPO denk ich mal auswählen und dann hab ich wieder die Verknüpfung
warum solltest du die gpo löschen wollen? die sollte soweit ja korrekt gewesen sein, auch wenn der Name ein wenig irreführend war, aber kann man ja so umbenennen.
Dachte man könnte sie nicht verschieben aber anscheinend geht es ja
So sollte es jetzt klappen oder?
clients>pc (auf den die GPO)
users>users
Hätte noch eine andere Frage bei der GPO denke mal das ist jetzt richtig wenn ich Administrator hinzufügen will geht das nicht über Durchsuchen da tut er mir immer die Administratoren hinzufügen oder sind das beides die gleichen Gruppen?
Unabhängig von der GPO, solltest du dir erstmal Basics durchlesen wie GPOs funktionieren. Du solltest zumindest verstehen was das GPO-Object und was eine Verknüpfung ist. Und dazu Berechtigungen, mehrere Verknüpfungen aufs OUs verweisen, was unterscheiden Benutzer und Computerkonfiguration, etc.
Das scheitert theoretisch an sehr einfachen Dingen
