Gruppenrichtlinien

[tuningmaster]

Hallo,

ich habe eine Frage. Wir haben eine globale Gruppenrichtlinie, die es allen Usern untersagt, die CMD auszuführen.

Unter der globalen Gruppenrichtlinie befinden sich noch weitere OU´s mit deren eigenen Gruppenrichtlinien. Bei den untergeordneten Gruppenrichtlinien ist niergends eine Verweigerung der CMD konfiguriert, lediglich in der übergeordneten globalen GPO.

Ziel ist es, dass eine untergeordnete OU zugriff auf die CMD bekommt. Lässt sich sowas realisieren???

[schepp]

Hi, ja das lässt sich machen.

Du musst für diese eine OU die Vererbung der darüber liegenden Richtlinien abbrechen.

Gruß

[tuningmaster]

Wie genau funktioniert das ? GPMC öffnen, die untergeordnete OU anklicken, die nicht von der Vererbung betroffen sein soll...und dann ?

Problem ist halt nur, es soll nur eine Einschränkung aus der Gruppenrichtlinie entfernt werden...Es sind viele Einschränkungen für die User über die oberste Globale GPO eingestellt. Zwei User sollen nun auf die CMD zugreifen können...wenn ich die vererbung für die OU nun rausnehme, wo die user involviert sind, dann greift ja gar keine Einschränkung mehr :/

Fällt mir nebenbei ein

[lupo49]

Wie soll das denn funktionieren? Du kannst nicht einzelnen Parametern aus einer Gruppenrichtlinie sagen, dass diese eine höhere Priorität haben, als den Parametern aus den übergeordneten Gruppenrichtlinien.

[Enno]

IMHO müsste es funktionieren wenn du in dieser OU der 2 User die nutzung der CMD wieder explizit erlaubst.

Ists nicht so, Vererbung geht von Oben nach unten. und das letzte Explizite Recht greift. Nur wenn man es nicht definiert greift das der nächst höheren OU.

[tuningmaster]

Also folgende Konstellation nochmal zum Verständnis :

400Clients

OU Global -> Alle Benutzer dürfen die cmd nicht ausführen+div.andere Richtlinien

OU1 ->Alle Benutzer dürfen die cmd nicht ausführen+div.andere Richtlinien

OU3 -> Benutzer aus dieser OU dürfen+div.andere Richtlinien

[tuningmaster]

sorry. formatierungsfehler:

OU3 : user dürfen CMD ausführen + die restlichen richtlinien aus OU global sollen weiter vererbt werden.

[Tiro]

Du musst für diese eine OU die Vererbung der darüber liegenden Richtlinien abbrechen.

Geht, aber das teuflische Detail ist, daß Du vermutlich beim nächsten Mal nicht dran denkst, daß die Vererbung abgeschaltet ist ;-)

Besser ist die Lösung von Enno:

Einfach eine weitere GPO auf die gewünschte OU setzen, welche die cmds wieder erlaubt. Da das die letzte OU ist, kommt auch die GPO als letzte und überschreibt die vorherige GPO (cmd verbieten)

|

OU (cmd verbieten + diverse)

|

OU1 (vererbt: cmd verbieten + diverse)

|

OU2 (cmd erlauben +diverse)

[tuningmaster]

Wo genau konfiguriere ich diesen Schritt für OU2? Sodass cmd erlaubt ist, aber alle anderen Richtlinien von der OU global weiter nach unten vererbt werden???

Weil nur in der OU global ganz oben die Einstellungen für die Verweigerung der cmd nach unten hin vererbt wird. in der OU2 selbst ist diese Richtlinie nicht konfiguriert.

[Tiro]

Wo genau konfiguriere ich diesen Schritt für OU2? Sodass cmd erlaubt ist, aber alle anderen Richtlinien von der OU global weiter nach unten vererbt werden???

Du erstellst eine neue GPO mit der einzigen Einstellung "cmd erlaubt" und verknüpft sie auf OU2.

[tuningmaster]

problem gelöst

die beiden user können unter c:\windows\system32\command.com ne Kommandozeile aufrufen. funktioniert...!