Guten Tag an alle,

ich habe im AD ein  personalisiertes Konto erstellt. Dieses habe ich in alle Gruppen, in denen der Domänen-Admin steckt, auch hinzugefügt.

Trotzdem gibt es unterschiede bei den Zugriffsrechten. Z. Bsp. gpresult /r: DA=Angewandte Computer-Richtlinien werden angezeigt. PA=Zugriff verweigert.

Wie kann ich das personalisierte Konto auf die gleiche Ebene heben?

Ist der User in der richten OU ? Verweigern GPO/Eintragirgendwo vorhanden? Sind GPO-Filter auf Usergruppen aktiviert, welche auf deinen User nicht anwenden ggf. ?
So richtig blickt man da nicht durch

Am 2.6.2020 um 09:50 schrieb Narf!:

Wie kann ich das personalisierte Konto auf die gleiche Ebene heben?

Zusätzlich zu den Fragen von @varafisi noch: gibt es irgendwo Rechte, die auf Userebene gesetzt wurden? Wenn die Umgebung historisch gewachsen ist, ist davon auszugehen. So was findest du nie wieder, solche Strukturen kann man nur "rauswachsen" lassen.

Das PA-Konto ist in einer eigenen OU ohne Vererbung der GPOs. Es ist nur die Default Domain GPO direkt zugeordnet, die auch der Domänen-Admin abkriegt.

Irgendwie fehlt dem PA-Konto das "Extrem"-Admin-Token.

Wenn ich mich mit dem Domänen-Admin anmelde, kann ich einfach so Programme ausführen. Wenn ich das mit dem PA-Konto mache, werde ich nach erhöhten Rechten gefragt, oder es funktioniert etwas gar nicht, wegen fehlender Berechtigung.