lokale Gruppenrichtlinie nur auf bestimmte Benutzer anwenden

[Matzel80]

Hallo, ich habe Aufklärungsbedarf zu Windows 2000 Professional (vermutlich ist es bei XP dasselbe Problem).

Folgendes Szenario:

Ich habe eine Windows 2000 Professional Workstation, auf der ich die systemregistrierten User in ihren Rechten einschränken möchte.

Systemregistrierte User sind folgende (sie wurden von mir angelegt und in die angegebenen Gruppen verschoben):

User

1. Thomas -->gehört zur Gruppe der Administratoren

2. User X --> gehört zur Gruppe Hauptbenutzer

3. User Y --> gehört zur Gruppe Benutzer

Nun wollte ich die Rechte der Windowseigenen Standardgruppe "Benutzer" weiter einschränken --> (dieser Gruppe stehen von Haus aus die wenigsten Rechte zu), um die Manipulation am System zu unterbinden.

Zu den angedachten Einstellungen zählten z.B. das Ausblenden der Systemsteuerung, das Unzugänglichmachen des Kommandozeilentools "Ausführen" im Startmenü, das Ausblenden der Netzwerkverbindungen und weitere Funktionen....

Als geeignetes Mittel dachte ich das lokale Gruppenrichtlinienobjekt an, über das jedes Windows 2000 Professional verfügt.

Es befindet sich unter:

c:\winnt\system32\ gpedit.msc. --> der Editor zum Konfigurieren der Gruppenrichtlinien

Die vorgenommenen Konfigurationen befinden sich in den Dateien im Verzeichnis:

c:\winnt\system32\GroupPolicies.

Meinem Kenntnisstand zufolge, besitzt jedes Windows 2000 Professional genau ein lokalen Gruppenrichtlinienobjekt.

Über dieses kann man die oben genannten Konfigurationseinstellungen tätigen, das Problem ist allerdings, das diese fertiggestellte Gruppenrichtlinienkonfiguration nicht irgendwelchen Gruppen (Administratoren, Benutzer, Hauptbenutzer etc.) zuweisen kann, sondern diese fertiggestellte Gruppenrichtlinienkonfiguration verbindlich für alle User und alle Gruppen (sprich Thomas, User X, User Y, Administratoren, Benutzer, Hauptbenutzer etc.) gilt.

Durch diese Gruppenrichtlinie kann leider nicht selektiert werden, wer davon betroffen ist und wer nicht. Sie gilt für alle verbindlich. Auch der Administrator ist von den Einschränkungen betroffen.

Nun dachte ich mir, ich könnte Abhilfe schaffen, in dem ich den Hauptbenutzern und den Administratoren, für die diese Einschränkungen nicht gelten sollen, die Leserechte auf das Verzeichnis c:\winnt\system32\GroupPolicies entziehe.

Hauptbenutzer sollen nicht von den Einschränkungen betroffen sein und diese auch nicht editieren können --> sie erhalten demnach gar keine Berechtigungen über die Sicherheitseinstellungen zugeteilt.

Administratoren sollen von den Einschränkungen nicht betroffen sein, aber dennoch das Recht haben, diese zu editieren.

Sie erhalten demnach Berechtigungen zu schreiben über die Sicherheitseinstellungen (sie müssen ja die Gruppenrichtlinien editieren können), aber keine Berechtigungen die Group Policies zu lesen --> sie sollen ja nicht davon betroffen und eingeschränkt sein.

Benutzer sollen von den Einschränkungen betroffen sein und diese auch nicht editieren können --> sie erhalten demnach über die Sicherheitseinstellungen die Berechtigung zulesen, aber nicht zu schreiben.

So, nun habe ich alles schön konfiguriert.

Ich melde mich als Thomas (Admin) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> so, wie es sein soll

Ich melde mich als User X (Hauptbenutzer) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> so, wie es sein soll

ABER:

Ich melde mich als User Y (Benutzer) an meinem Windows 2000 Professional Rechner an und stelle fest, das ich nicht von den Einschränkungen betroffen bin --> genau hier sollten aber die Gruppenrichtlinien wirken, da die Gruppe Benutzer die einzige ist, die die Berechtigung hat, die Group Policies zu lesen

Ich verstehe es nicht. Aus der Windows 2000 Hilfe geht auch nichts hervor.

Welcher kompetente Mensch kann mir sagen, warum das nicht funzt.

Spezialfrage

Was sind die Gruppen System und Ersteller- Besitzer, die mir außerdem bei den Sicherheitseinstellungen angeboten werden ?

Zur Info:

Ich habe nur Windows 2000 Professional, ohne aktuelles Servicepack installiert.

Ich hoffe nicht, dass es daran liegt.

[hades]

Du brauchst nicht nur das Recht Lesen, sondern auch das Recht Gruppenrichtlinie uebernehmen. Das kannst Du aber leider nicht per NTFS-Recht auf einem Ordner/Datei setzen.

Dieses spezielle Recht gibt es nur im ActiveDirectory, dessen Richtlinien die lokalen Richtlinien ueberschreiben.