hallo,

ich habe eine frage zu den gruppenrichtlinien und zwar möchte ich die gerne anwenden aber nicht für alle benutzer... der pc ist standalone in einer domain wäre es ja auch einfach :tongue: kann mir da vlt jemand helfen?

Dann trägst du eben nur die Benutzer ein, auf die es angewendet werden soll.

es gibt da nur einen dreckigen Trick. Normalerweise gelten lokale Policies für alle User. man kann aber das Anwenden der Policies für bestimmte User (z.B. dem Administrator) verweigern indem man für diesen User die Lesenrechte entfernt. Hat dann aber zur Folge, dass dieser User die Policies nicht bearbeiten kann. Es artet also immer aus, weil man zum Bearbeiten die Rechte ändern muss. Und wenn man sich einmal versieht und das Verweigern vergisst, dann hats der User doch noch bekommen. Wenn du dann dich an den Einschränkungen vergreifst kann u.U. dein system unbaruchbar werden und eine Neuinstallation benötigen. Also nur auf eigene Gefahr.

Ach ja, die Policies werden in der Datei REGISTRY.POL gespeichert. Zu finden unter C:\WINDOWS\system32\GroupPolicy für User/Machine. Dementspechend sind es dann die Einträge für die Computerkonfiguration bzw. Benutzerkonfig. Wenn du dem User dann per NTFS den Zugriff Lesen/verweigern einstellst, bekommt er die Policy nicht verpasst.

PS: Mach die einstellungen auf jeden Fall nicht mit dem Administrator, weil schon beim Einstellen einige Policies wirken (nicht erst beim Anmelden) und der user braucht ja rechte um sie zu ändern.
da bin ich mir jetzt aber nicht absolut sicher! Aber Vorsicht ist die Mutter der Porzellankiste.

danke

Warum sollte der User die möglichkeit haben, die GPOs zu verändern. :confused:

Dann braucht man auch gar keine GPOs zu konfiggen.

falls jemand dran interessiert ist ich habe es jetzt so gelöst das der administrator garkeine rechte an der datei hat also das ganze keinen einfluss auf ihn hat und er sie halt auch nicht bearbeiten darf, dann einen benutzer mit admin rechten der die richtlinien bearbeitet und einen dritten benutzer der die datei zwar nicht bearbeiten kann aber auf den sie angewendet wird so habe ich im notfall immer noch den administrator der alles retten kann(so wie es sich gehört^^)

ja genau so sollte es sein. Mit User war von mir nicht immer Benutzer gemeint, sondern auch ein User mit Adminrechten. EDIT: Du darfst dem Benutzer mit dem du die Einstellungen vornimmst aber per Policy nicht die Rechte wegnehmen die MMC zu starten.:smile: