Jump to content

Zieht nicht: Domain-Admin in Gruppe lokaler Admins


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Schönen guten Tag zusammen.

 

Ich habe ein Problem mit meiner neuen Windows Server 2008 Testdomäne.

Ich habe noch keine Erfahrungen mit Domänen und hänge bei der Aufgabe die

Domänen-Admins per Richtlinie in jede lokale Gruppe der Administratoren

hinzuzufügen, ohne bestehende Mitglieder zu entfernen.

 

Mein Versuch:

In der Computerkonfig -> Windows -> Sicherheit -> Eingeschränkte Gruppen:

Gruppenname: Domain-Admins

Mitglieder: <Kein Eintrag>

Mitglied von: Administratoren

 

Im Ergebnis habe ich auf einem zweiten Server 2008 in der Domäne keine

Domänengruppe "Domänen-Admins" in der lokalen Gruppe der Administratoren.

 

Warum geht das nicht?

 

(gpupdate /force auf DC und Client bringen nichts, Reboots ebenfalls.)

 

Vielen Dank.

Reveller

Link zu diesem Kommentar

Also eigentlich sollte das genau der richtige Weg sein.

Ich kenne den zwar im Moment nur aus Windows 2003 Domänen, aber ich glaube nicht, dass sich das geändert hat.

 

Führt der Server, bei dem du die Admin-Gruppe in den lokalen Administratoren haben möchtest, denn auch diese Gruppenrichtlinie aus?

 

Überprüfen kannst du das z.B. mit gpresult im cmd Fenster

ob deine GPO dabei ist.

Aber eigentlich sollte die Gruppen Domänen-Admins doch sowieso in den lokalen Administratoren geführt sein, nachdem er in die domäne aufgenommen wurde?!

Link zu diesem Kommentar

Hallo und Danke für die Antwort.

 

Ein gpresult /R zeigt unter Computereinstellungen folgendes (für mich auffälliges) an:

 

Domänentyp: Windows 2000
(Warum denn das??)
Angewendete Gruppenrichtlinie: Default und meine eigene (mit den Einstellungen)
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet:

Richtlinien der lokalen Gruppen

 

Aha! Ist das die gesuchte Richtlinie und warum wird diese denn nicht angewendet??

 

Danke und Gruß,

Dominic

Link zu diesem Kommentar

Bei der herausgefilterten Gruppenrichtlinien sollte so etwas dabei stehn:

 

Filterung: Nicht angewendet (Leer)

 

Also nur nicht angewendet, weil keine Einstellungen darin gemacht sind.

 

Windows 2000 steht bei meiner Windows 2003 Domäne auch drin. Kann ich im Moment nicht erklären :)

 

Hast du denn eine englisches System, dass du Domain-Admins schreibst und nicht Domänen-Admins?

Du kannst auf dem Memberserver noch im Log nachschauen, ob beim Abarbeiten der GPO ein Fehler auftritt:

 

C:\WINDOWS\security\logs\winlogon.log

Link zu diesem Kommentar

Okay:

Filterung: nicht angewendet (leer)
ist vorhanden, sprich dies ist hier nicht relevant.

 

Alle Systeme sind deutsch....sollte das etwa...:shock:

Ich habe die Richtlinie nun angepasst:

Gruppenname: Domänen-Admins

Mitglieder: <Kein Eintrag>

Mitglied von: Administratoren

 

Effekt: Keiner

Aber das Log:

 

...

----Gruppenmitgliedschaft wird konfiguriert...

Konfigurieren von *s-1-5-21-3019654259-3767635169-4099123114-512.

Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

Keine Systemzuordnung gefunden für *s-1-5-21-3019654259-3767635169-4099123114-512.

 

Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen.

.

:confused:

Link zu diesem Kommentar

Ich hätte gedacht das wäre es gewesen... aber leider nicht.

 

Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

Keine Systemzuordnung gefunden für *s-1-5-21-3019654259-3767635169-4099123114-512.

 

Die SID ist definitiv die der globalen Gruppe "Domänen-Admins" wie Sie auf dem Memberserver mittels wmic:groups auch aufgelöst werden kann.

 

Sehr interessant: Wenn ich als lokaler Admin auf dem memberserver in die lokalen Gruppen gehe und sage globale Gruppe Domänen-Admins hinzufügen, bekomme ich die Meldung diesen wären schon enthalten.

Aber defacto werden Sie nicht angezeigt und die Rechte hat der Domänenadmin auch nicht!

Ein Mist ist das...:mad:

Link zu diesem Kommentar

Okay, das klingt nun seltsam. Versuchs doch mal testweise mit einer anderen Gruppe, nur um zu sehen, ob es funktioniert und um die Sache etwas einzugrenzen.

 

Hier gabs auch schonmal sowas, aber leider hatte da wohl auch keiner eine Lösung :/

http://www.mcseboard.de/windows-forum-allgemein-83/domaenenbenutzer-via-gpo-hauptbenutzer-47002.html

 

Du könntest aber mal versuchen wie dort beschrieben, via Befehlszeile die Domänen-Admins hinzuzufügen oder löschen und schauen, welche Fehlermeldung dort angezeigt wird:

 

net localgroup /add bzw /delete

Link zu diesem Kommentar

Ich habe ein Problem mit meiner neuen Windows Server 2008 Testdomäne.

Ich habe noch keine Erfahrungen mit Domänen und hänge bei der Aufgabe die

Domänen-Admins per Richtlinie in jede lokale Gruppe der Administratoren

hinzuzufügen, ohne bestehende Mitglieder zu entfernen.

 

Die Gruppe der Domain Admins sind immer in der Gruppe der lokalen Admins enthalten. AFAIK braucht man dafür keine GPO verwenden.

 

Mein Versuch:

In der Computerkonfig -> Windows -> Sicherheit -> Eingeschränkte Gruppen:

Gruppenname: Domain-Admins

Mitglieder: <Kein Eintrag>

Mitglied von: Administratoren

 

Hier findest Du eine HowTo dazu: Eingeschränkte Gruppen

 

(gpupdate /force auf DC und Client bringen nichts, Reboots ebenfalls.)

 

/Force soll nichts bringen lt. GPO-Spezialisten, auf dem DC auf dem Du die GPO erstellst erst recht nicht. Auf den Clients macht man besser nur ein gpupdate und einen Neustart.

Link zu diesem Kommentar

Moin,

 

Ich habe noch keine Erfahrungen mit Domänen und hänge bei der Aufgabe die

Domänen-Admins per Richtlinie in jede lokale Gruppe der Administratoren

hinzuzufügen, ohne bestehende Mitglieder zu entfernen.

 

eine ziemlich anspruchsvolle Aufgabe, wenn einem die Grundlagen fehlen. Du solltest bei einfachen Dingen beginnen, nicht bei komplizierten.

 

Im konkreten Fall ist die Aufgabe aber, wie Winfried schon richtig sagt, unsinnig. Wer hat die gestellt? Was ist die konkrete Anforderung?

 

Gruß, Nils

Link zu diesem Kommentar

So anspruchsvoll ist die Aufgabe nun auch nicht. Er hat ja bisher alles richtig gefunden und die Frage wäre nur dann unsinnig, wenn die Standardzuordnung der Fall wäre.

 

Bei ihm wird aber scheinbar nicht angezeigt, dass die Gruppe Domänen_Admins in den Administratoren drin ist.

 

Von daher finde ich seinen Wunsch die hinzuzufügen, garnicht mal so unsinnig.

Link zu diesem Kommentar

Aus sicherheitstechnischer Betrachtung ist das sehr wohl "unsinnig", denn warum sollte ein Domänen-Admin (der ja für die Administration der Domäne == Active Directory) da ist, auch an PCs lokaler Admin sein? Wenn also schon so eine Anforderung kommt, dann baut man dafür eine Gruppe "PC-Admin" oder ähnliches. Da kann man zur Not den Domänen-Admin immer noch reinstecken, aber nicht jeder der Domänenadmin ist, wäre auch PC-Admin und nicht jeder der PC-Admin ist wäre auch DOmänen-Admin. ;) Leider hat MS mit diesem "Sche...ß" mal angefangen und seitdem meint jeder er muß Domänenadmin sein nur damit er auf allen PCs auch Admin ist.

 

Bye

Norbert

Link zu diesem Kommentar

Gruß,

 

Von daher finde ich seinen Wunsch die hinzuzufügen, garnicht mal so unsinnig.

 

mag ja alles sein, aber dazu kann nur der TO eine Auskunft geben, indem er die konkreten Anforderungen und das konkrete Problem beschreibt. Zu klären wäre dann u.a., warum denn die Domänen-Admins nicht in den lokalen Admins sind (sofern das denn überhaupt der Fall ist).

 

Wir haben hier oft Anfragen à la "Wie geht das-und-das", und nach teilweise tagelangem Support stellt sich heraus, dass die tatsächliche (aber nicht genannte) Anforderung eine ganz andere Lösung erfordert hätte.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...