Zum Inhalt wechseln


Foto

GPO für Server ausschließen - ist es so richtig?

GPO

  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 -rk-

-rk-

    Junior Member

  • 100 Beiträge

 

Geschrieben 16. August 2017 - 13:40

Hallo,

 

ich habe eine GPO (um Fragen vorzubeugen; von der Firmenleitung so ausdrücklich gewünscht):

Benutzerkonfiguration (Aktiviert)
Einstellungen
Systemsteuerungseinstellungen
Lokale Benutzer und Gruppen
Gruppe (Name: Administratoren (integriert))
Administratoren (integriert) (Reihenfolge: 1)
Lokale Gruppe
Aktion Aktualisieren 
Eigenschaften Gruppenname Administratoren (integriert) 
Mitglieder hinzufügen NT-AUTORITÄT\INTERAKTIV 

Die ist mit der Domäne verknüpft und soll bewirken, dass jeder AD-User auf dem Rechner an dem er gerade angemeldet ist auch lokaler Admin ist. Als Fehler führt es leider auch dazu, dass man sich auch an einem Server per Remote Desktop mit seinen Benutzer-Creds anmelden kann, da da der User automatisch auch lokaler (Server-)Admin ist.. 

 

Um das zu verhindern, habe ich die GPO auf Domänenebene gelöscht und neu mit der OU 'Firmenrechner' verknüpft. Darin (und nicht in 'Computers') befinden sich alle Rechner der Firma. Nachdem ich auch noch für diese OU den Loopbackmodus aktiviert habe und die GPO auf 'erzwingen' gesetzt habe, funktioniert das jetzt anscheinend wie gewünscht.

 

Ist das der beste Weg? Geht es besser?

 

Eigentlich wollte ich die GPO auf der Domänenebene lassen und nur Ausführung in der OU 'Firmenserver' verhindern. Bei den Delegationseinstellungen konnte ich aber diese OU nicht sehen bzw. auswählen. Ich hätte hier nur händisch die Server namentlich eintragen können, nicht die Gruppe an sich. Warum kann ich hier keine OU (bzw. nicht diese OU) auswählen?

 



#2 testperson

testperson

    Board Veteran

  • 4.511 Beiträge

 

Geschrieben 16. August 2017 - 13:47

Hi,

 

du solltest der Firmenleitung klar machen, dass User mit lokalen Administratorrechten (an jedem Rechner) ein No-Go sind.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 16. August 2017 - 14:12

Der Geschäftsführer ist übrigens voll haftbar für sein Tun. Und jeden Benutzer zum lokalen Admin zu machen, ist sicherheitstechnisch ein No Go. 


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#4 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 16. August 2017 - 14:28

Moin,

 

rein aus GPO-Sicht ist das korrekt so, ansonsten stimme ich meinen beiden Vorrednern zu.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!




Auch mit einem oder mehreren der folgenden Tags versehen: GPO