Jump to content

GPO lokale Adminsrechte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich würde gerne an einer Gruppe von PCs den Domänen Usern lokale Admin Rechte geben. Leider haut das nicht hin.

 

Ich bin wie folgt vorgegangen:

 

- Im AD eine OU erstellt: Test

- Im AD eine Gruppe erstellt:Lokale Administratoren

- In der AD OU "test" einen PC zugefügt

- In der AD Gruppe "Lokale Administratoren" die Mitglieder "Administrator" und "Domänen-Admins" sowie einen AD User "Testuser" zugefügt. Bei diese Gruppe ist Mitglied von habe ich eingetragen: Administratoren.

- Im GPO Editor habe ich dann Rechtsklick auf die neue OU "Test" und dort eine Policiy erstellt und verknüpft.

- Diese GPO editiert indem ich Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen die Gruppe "domäne\Lokale Administratoren" zugewiesen habe.

 

In den Eigenschaften dieser Gruppe im GPO Editor habe ich weder "Mitglieder" noch "Mitglied von" editiert denn ich bin der Meinung das das ja schon in der AD Gruppe geschehen ist und das dann dort auch greift.

 

gpupdate auf server und pc ausgeführt.

 

auf dem pc das ganze überprüft -> Es hat sich rein garnichts verändert :( Dort stehen nach wie vor die alten Einstellungen unter Computerverwaltung -> Lokale Benutzer und Gruppen -> Gruppen -> Adminstratoren.

 

Sinn der Sache soll sein alle alten Einstellungen zu überschreiben. D.H. Alle bisherigen lokalen Admins entfernen und nur die der GPO einfügen.

 

Nun die Preisfrage: So What? Wo ist mein Denkfehler? Was habe ich falsch gemacht?

 

gruesse

bearbeitet von bill_mustermann
Link zu diesem Kommentar

Kann mir vielleicht jemand detailiert sagen wie ich vorzugehen habe per GPO. Ich bin immer noch der Meinung das die Gruppe die ich im AD erstellt habe ausreichen sollte. Dafür ist sie ja da. Da stehen die User drinn die lokaler admin sein dürfen und das die Gruppe mitglied von Administratoren ist. Wenn ich in dem GPO Editor auch noch user zufügen muss ist die AD Gruppe für mich irgendwie sinnfrei. Ich steh aufm Schlauch!

 

 

Ahhhh, denkfehler.........ich muss im GPO Editor die lokale Gruppe Adminstratoren zufügen und darin dann meine Gruppe Lokale Adminstratoren als Member eintragen.

 

Jetzt ist nur noch meine erstellte Gruppe und der Adminsitrator in der Gruppe Administratoren. Soweit so gut. Wenn jetzt mein testuser versucht ne software zu installieren kann er das über "als admin ausführen" immer noch machen :(

 

das soll er eben nicht dürfen. er soll garnix installieren dürfen.

bearbeitet von bill_mustermann
Link zu diesem Kommentar

Hat jemand noch ne idee hierzu:

 

Jetzt ist nur noch meine erstellte Gruppe und der Adminsitrator in der Gruppe Administratoren. Soweit so gut. Wenn jetzt mein testuser versucht ne software zu installieren kann er das über "als admin ausführen" immer noch machen :(

 

das soll er eben nicht dürfen. er soll garnix installieren dürfen.

Link zu diesem Kommentar

hehe :) ne ohne eingabe eines admin kennworts ging das.

Dann ist er lokaler Admin und darf das. Na logisch geht das dann auch ohne Kennwort.

 

Mal zum Verständniss: Sehe ich das richtig das wenn ich einem User die lokalen Admin Rechte entzihe er keine Software mehr installieren können dürfte?

Jain, es gibt genügend Software, die sich trotzdem installieren läßt. ;) Bspw. ins Userprofil.

 

Bye

Norbert

Link zu diesem Kommentar

Hallo,

 

habe ich das richtig verstanden: Ein Benutzer in der Gruppe der Administratoren, der nicht installieren dürfen soll? Ist das nicht ein unvereinbarer Gegensatz?

 

Es gibt kein Recht Installation.

 

Die Gruppe der Administratoren hat Vollzugriff auf Verzeichnisse und Registry.

bearbeitet von lefg
Link zu diesem Kommentar

Hallo,

 

habe ich das richtig verstanden: Ein Benutzer in der Gruppe der Administratoren, der nicht installieren dürfen soll? Ist das nicht ein unvereinbarer Gegensatz?

 

Es gibt kein Recht Installation.

 

Die Gruppe der Administratoren hat Vollzugriff auf Verzeichnisse und Registry.

Nein, falsch verstanden.Ein user der nicht in der Gruppe Administratoren ist soll/darf nichts installieren.

 

gruesse

Link zu diesem Kommentar

Nein, falsch verstanden.Ein user der nicht in der Gruppe Administratoren ist soll/darf nichts installieren.

Das ist ja der Standard. Es gibt natürlich viele Programme die zwar eine Installationsroutine mitbringen, aber sich z.B. einwandfrei in die Eigenen Dateien installieren lassen und dabei auch nicht versuchen in %programfiles% oder %windir% zu schreiben. Schon ist der Admin außen vor. Dagegen hilft nur das verbieten von Ausführbaren Dateien außerhalb von %programfiles% und %windir%. Dann müssen diese Programme von einem Admin installiert werden und der Benutzer kann sie nur benutzen.

Link zu diesem Kommentar

Nein, falsch verstanden.Ein user der nicht in der Gruppe Administratoren ist soll/darf nichts installieren.

 

Ja, falsch verstanden, oder auch falsch erklärt, meist geht es ja um Installation, um Vollzugriff dafür.

 

In der Überschrift steht lokale Adminrechte.

 

Und Du schriebst.

 

ich würde gerne an einer Gruppe von PCs den Domänen Usern lokale Admin Rechte geben

 

Was sollen denn Adminrechte sein? Gibt es so etwas? Wo sthet das, wo sind die in Windows festgelegt?

 

Nochmals. Der Administrator, die Gruppe der Administratoren hat i.d.R. Vollzugriff auf Verzeichnsisse und Registry.

 

Worum geht es dir also?

bearbeitet von lefg
Link zu diesem Kommentar

Hi,

 

da hab ich mich wohl etwas verwirrend ausgedrückt ;) Ich möchte folgendes:

 

- Eine Gruppe die lokale Admins an bestimmten PCs sind und dort entsprechend alles dürfen.

- Eine weitere Gruppe denen ich die lokalen Admin Rechte entziehe (vorher waren ALLE lokale Admins, händisch an jedem PC eigens eingetragen), welche dann eben nicht mehr alles dürfen.

 

Ich habe das nun wie folgt realisiert.

 

- eine GPO lokale Admins nur mit den usern administratoren und domänen admins -> ganz oben in der OU Hierarchie (diese soll erstmal allen die lokalen Admin rechte entziehen)

- eine GPO lokale Admins IT nur mit den usern administratoren und domänen admins und den usern die lokale Admins sein dürfen -> auf die OU angewendet in der die gruppe der pcs ist auf denen sie lokale admins sein dürfen

 

gruesse

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...