Wenn ein nicht privilegierter Benutzer (oder ein Computerkonto) einer AD DS-Domäne zum Ausführen eines Gruppenrichtlinienobjekts berechtigt ist. Welcher Benutzer führt es tatsächlich für ihn aus?
Dinge in Gruppenrichtlinienobjekten auf Computerebene werden vom SYSTEMBenutzer ausgeführt . Dinge in Gruppenrichtlinienobjekten auf Benutzerebene werden von dem jeweiligen Benutzer ausgeführt, der sich anmeldet.
Ist es möglich, den Benutzer auszuwählen, der das Gruppenrichtlinienobjekt ausführt, die Rechte anwenden usw.?
Ja, entweder durch Verknüpfen des Gruppenrichtlinienobjekts mit einer Organisationseinheit, die die spezifischen Benutzer enthält, auf die das Gruppenrichtlinienobjekt angewendet werden soll, oder mithilfe der Sicherheitsfilterung der Gruppenrichtlinien.
Mit der Sicherheitsfilterung können Sie festlegen, welche Benutzer und Computer die Einstellungen in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) erhalten und anwenden sollen. Mithilfe der Sicherheitsfilterung können Sie angeben, dass nur bestimmte Sicherheitsprinzipale innerhalb eines Containers, an den das Gruppenrichtlinienobjekt gebunden ist, das Gruppenrichtlinienobjekt anwenden.
Sie können Gruppenrichtlinienobjekte nicht auf einen Benutzer anwenden, sondern sie als einen anderen Benutzer ausführen lassen.