TS Client User Adminrechte geben? (Domäne)

[Caine1]

hi leute, ich stehe vor einem problem, ich selbst bin natürlich admin, ich möchte in die systemsteuerung aber das wird mir mit dem user verwehrt da es via GPO unterbunden ist. erteile ich dem user domänenadmin/admin rechte (nehme ihn zur sicherheitsgruppe) geht das ebenso nicht da anscheinend die GPOs für ihn greifen. ich habe ihn auch schon aus der gruppe genommen der gpos aber er benötigt einen service den er in einer untergruppe dieser gruppe erhält wenn er in der gruppe ist.

überlegungen waren:
1. ihn komplett aus den gruppen der ateilung zu entfernen und den service direkt anzusteuern, (rdp verbindung)
2. den user via gpo (aber nur den user?) adminrechte in der gruppe zu vergeben, jedoch habe ich noch nicht gefunden wie das geht

hat jemand eine idee? lieben dank!

 

[Bruzla]

Versteh ich nicht ganz aber...

Verweigern"Recht" für Domänenadmins für die GPO?

Oder einfach für deinen User.

 

[QShambler]

Versteh ich nicht ganz aber...

Verweigern"Recht" für Domänenadmins für die GPO?

Oder einfach für deinen User.

Ich fass das so auf das er mit seinem User Admin ist (also eigentlich Domänenadmin ich hoffe nicht das es mehr ist wie Schemenadmin ^^) und die GPO auf ihn angewendet wird. Und jetzt weiss er nicht wie er das anwenden dieser Einstellung auf sich verhindern kann ^^.

Wie das jetzt mit der Überschrift zusammenhängt keine Ahnung.
Also das mit dem Adminrechten auf einem TS (TerminalServer?) Client einem User geben. Die verbots GPO schlägt nämlich immer die Berechtigung. Verbot > Erlauben.

Da ich diese Einstellung nicht kenne (Systemsteuerung verbieten) weil ich nie den Need verspürt habe das zu unterbinden kann ich jetzt auf die schnelle auch nichts spezifisches dazu sagen.

Aber wenn die Systemsteurung auf dem TS aufgerufen werden soll meldet man sich üblicherweise auch nicht mit einem DomänenUser an sondern direkt am Terminal Server.

Nevermind. Es gibt diverse Möglichkeiten das anwenden einer GPO zu unterbinden.
Zb in den Security Settings der GPO. Da stehen standardmässig alle Authentifizierten User drin. Diese Gruppen/User/Computer die man da hinzufügt sind diejenigen die die GPO lesen und entsprechend ausführen können. Also entsprechend nur diejenigen die es nutzen sollen hinzufügen.
Alternativ kann man unter Delegation Spezielle Rechte vergeben. Da einen User/Gruppe/PC hinzufügen und dann einfach das lesen verbieten.
Das würde aber die ganze GPO betreffen was blöd ist wenns nur eine Einstellung sein soll. Dann muss man entsprechend 2 GPO's machen.

Alternativ kann man innerhalb der GPO's bei manchen Einstellungen (unter anderem nicht die Administrativen Templates) Item Level Targeting machen. Auch da kann man einschränken wer dieses Setting bekommt.
Auf die Weise regele ich zB alle Network Shares und Drucker in je einer GPO.

 

[XN04113]

am besten einen 2ten Account benutzen
mit dem DomainAdmin Account macht man nicht seine normalen Arbeiten

 

[CharlieScene]

Ich kann deinen Post leider auch nicht komplett nachvollziehen - was passiert denn wenn du nach dem Gruppenwechsel ein gpupdate machst? Bzw. allgemein - was sagt gpresult?

 

[QShambler]

Ich kann deinen Post leider auch nicht komplett nachvollziehen - was passiert denn wenn du nach dem Gruppenwechsel ein gpupdate machst? Bzw. allgemein - was sagt gpresult?

Wenn auf seinem User eine Verbots GPO liegt kann er die Gruppen wechseln wie er will das Verbot zieht IMMER!

 

[cb_darkman]

Kann ich QShambler nur beipflichten, Verweigern ist verweigern.
Einer der Gründe warum man das möglichst nicht verwenden sollte, zumal hier dann auch noch die Vererbung greifen dürfte.

 

[Caine1]

lieben dank euch!
ziel ist es ein neues outlookprofil zu erstellen und den cachemodus zu ändern da es probleme gibt bei dem user, jedoch kann ich weder rechtsclick "ausführen als admin" auswählen noch die systemsteuerung aufrufen. deshalb hatte ich den user dann zur domänenadmingruppe hinzugefügt und dennoch keine systemsteuerung erhalten.
deshalb fiel mir ein das es dann via GPO unterbunden werden muss und diese dann wohl verbietet.

domänenstruktur ist wie folgt (beispiel da datenschutz):

test.de
firma.xy
-abteilung.finanz
-abteilung.reserve
--abteilung.reserve.azubis (nur hier verbinden sich die TS Clients!)
---> hier ist die userin
-abteilung.buero

GPOs werden soweit ich weiß auf OU's angewendet und NICHT auf die sicherheitsgruppen, demnach ist es egal wovon sie MITGLIED VON ist (?), also sollte die leichteste lösung sein sie einfach in die OU firma.xy zu verschieben oder? denn da wirken die GPOs nicht von abteilung.reserve.azubis, in den anderen OUs arbeiten die user mit lokalen outlook und nicht mit outlook im TS Server.

 

[AndiEF]

Im Office Installationsordner sollte es die Datei mlcfg32.cpl und kommst so in die Mail Einstellungen ohne über die Systemsteuerung zu gehen

 

[h00bi]

Dein TS ist "richtig" bzw. nach best practice konfiguriert.
Der persönliche Useraccount eines Admins sollte auf einem TS keine Adminrechte haben.

Ich sehe ehrlich gesagt außer Bequemlichkeit keinen Grund das zu ändern und würde dir auch raten das nicht zu ändern.

Den Cache Modus kannst du innerhalb von Outlook umstellen.
Auf dem TS sollte i.d.R. immer der Online Modus laufen weil sich da sonst exorbitante Datenmengen an OST Files ansammeln.

 

[cb_darkman]

Wie sieht den das effektive Recht des Benutzers aus?