Wenn einem nicht privilegierten Benutzer (oder einem Computerkonto) einer AD DS-Domäne die Ausführung eines Gruppenrichtlinienobjekts gestattet wird, welcher Benutzer führt es dann tatsächlich für ihn aus?
Ist es möglich, den Benutzer auszuwählen, der das Gruppenrichtlinienobjekt ausführt, die Rechte anwendet usw.?
Antwort1
Wenn einem nicht privilegierten Benutzer (oder einem Computerkonto) einer AD DS-Domäne die Ausführung eines Gruppenrichtlinienobjekts gestattet wird, welcher Benutzer führt es dann tatsächlich für ihn aus?
Die Ausführung von GPOs auf Computerebene erfolgt durchSYSTEMBenutzer. Elemente in GPOs auf Benutzerebene werden von dem Benutzer ausgeführt, der sich anmeldet.
Ist es möglich, den Benutzer auszuwählen, der das Gruppenrichtlinienobjekt ausführt, die Rechte anwendet usw.?
Ja, entweder indem Sie das Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpfen, die die spezifischen Benutzer enthält, auf die das Gruppenrichtlinienobjekt angewendet werden soll, oder indem Sie die Sicherheitsfilterung der Gruppenrichtlinien verwenden.
Mithilfe der Sicherheitsfilterung können Sie verfeinern, welche Benutzer und Computer die Einstellungen in einem Gruppenrichtlinienobjekt (GPO) erhalten und anwenden. Mithilfe der Sicherheitsfilterung können Sie angeben, dass nur bestimmte Sicherheitsprinzipale innerhalb eines Containers, mit dem das GPO verknüpft ist, das GPO anwenden.
Sie können GPOs nicht auf einen Benutzer anwenden, sondern als anderer Benutzer ausführen lassen.