Veröffentlicht 27. April 201015 j Hallo, ich habe eine Frage. Wir haben eine globale Gruppenrichtlinie, die es allen Usern untersagt, die CMD auszuführen. Unter der globalen Gruppenrichtlinie befinden sich noch weitere OU´s mit deren eigenen Gruppenrichtlinien. Bei den untergeordneten Gruppenrichtlinien ist niergends eine Verweigerung der CMD konfiguriert, lediglich in der übergeordneten globalen GPO. Ziel ist es, dass eine untergeordnete OU zugriff auf die CMD bekommt. Lässt sich sowas realisieren???
27. April 201015 j Hi, ja das lässt sich machen. Du musst für diese eine OU die Vererbung der darüber liegenden Richtlinien abbrechen. Gruß
27. April 201015 j Autor Wie genau funktioniert das ? GPMC öffnen, die untergeordnete OU anklicken, die nicht von der Vererbung betroffen sein soll...und dann ? Problem ist halt nur, es soll nur eine Einschränkung aus der Gruppenrichtlinie entfernt werden...Es sind viele Einschränkungen für die User über die oberste Globale GPO eingestellt. Zwei User sollen nun auf die CMD zugreifen können...wenn ich die vererbung für die OU nun rausnehme, wo die user involviert sind, dann greift ja gar keine Einschränkung mehr :/ Fällt mir nebenbei ein
27. April 201015 j Wie soll das denn funktionieren? Du kannst nicht einzelnen Parametern aus einer Gruppenrichtlinie sagen, dass diese eine höhere Priorität haben, als den Parametern aus den übergeordneten Gruppenrichtlinien.
27. April 201015 j IMHO müsste es funktionieren wenn du in dieser OU der 2 User die nutzung der CMD wieder explizit erlaubst. Ists nicht so, Vererbung geht von Oben nach unten. und das letzte Explizite Recht greift. Nur wenn man es nicht definiert greift das der nächst höheren OU.
27. April 201015 j Autor Also folgende Konstellation nochmal zum Verständnis : 400Clients OU Global -> Alle Benutzer dürfen die cmd nicht ausführen+div.andere Richtlinien OU1 ->Alle Benutzer dürfen die cmd nicht ausführen+div.andere Richtlinien OU3 -> Benutzer aus dieser OU dürfen+div.andere Richtlinien
27. April 201015 j Autor sorry. formatierungsfehler: OU3 : user dürfen CMD ausführen + die restlichen richtlinien aus OU global sollen weiter vererbt werden.
27. April 201015 j Du musst für diese eine OU die Vererbung der darüber liegenden Richtlinien abbrechen. Geht, aber das teuflische Detail ist, daß Du vermutlich beim nächsten Mal nicht dran denkst, daß die Vererbung abgeschaltet ist ;-) Besser ist die Lösung von Enno: Einfach eine weitere GPO auf die gewünschte OU setzen, welche die cmds wieder erlaubt. Da das die letzte OU ist, kommt auch die GPO als letzte und überschreibt die vorherige GPO (cmd verbieten) | OU (cmd verbieten + diverse) | OU1 (vererbt: cmd verbieten + diverse) | OU2 (cmd erlauben +diverse)
28. April 201015 j Autor Wo genau konfiguriere ich diesen Schritt für OU2? Sodass cmd erlaubt ist, aber alle anderen Richtlinien von der OU global weiter nach unten vererbt werden??? Weil nur in der OU global ganz oben die Einstellungen für die Verweigerung der cmd nach unten hin vererbt wird. in der OU2 selbst ist diese Richtlinie nicht konfiguriert.
28. April 201015 j Wo genau konfiguriere ich diesen Schritt für OU2? Sodass cmd erlaubt ist, aber alle anderen Richtlinien von der OU global weiter nach unten vererbt werden??? Du erstellst eine neue GPO mit der einzigen Einstellung "cmd erlaubt" und verknüpft sie auf OU2.
28. April 201015 j Autor problem gelöst die beiden user können unter c:\windows\system32\command.com ne Kommandozeile aufrufen. funktioniert...!
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.