Jump to content

im Netz Gruppenmitglieder <-> lokaler Administrator

dwoe

Von dwoe
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

dwoe Rookie

dwoe   10

Geschrieben
Geschrieben

Hallo,

 

hier mal mein erster Versuch im Forum - hoffentlich finde ich Hilfe:

 

wir haben bei uns im Netzwerk die Situation, dass die einzelnen Benutzer nur jeweils einer Gruppe angehören (zB.: Angestellte oder Hiwis...). Darüber wird der Zugriff auf freigegebene Netzwerkresourcen geregelt. Die Gruppe Angestellte gehört selber keiner Gruppe an, was dazu führt das man auf seinem lokalen Rechner kaum noch Rechte hat (nicht mal mehr die Uhrzeit stellen).

 

Aus unterschiedlichen Gründen müssen aber - im Gegensatz zur Gruppe Hiwis - die Angestellten Administratoren sein auf Ihren lokalen Rechnern (ich weiß, das wird nicht gern gesehen - ist aber nötig).

 

Was ich dann gemacht habe:

- im AD rechte Maus auf die Domäne -> Eigenschaften -> Gruppenrichtlinien

- eine neue angelegt "Alle zu Admins"

- diese bearbeiten

- unter Computerkonf. -> Windows. -> Sicherheits. -> eingeschränkte Gruppen die Gruppe "Administratoren" hinzugefügt

- dieser Gruppe die Mitglieder Administrator und Angestellte hinzugefügt

- fertig

 

Meine Fragen jetzt:

1. ist mein Ziel: lokale Admins <-> im Netz Gruppen damit erreicht?

2. ist mit der Gruppe Administratoren der lokale Administrator gemeint oder ein in der ganzen Domäne gültiger?

3. Muss ich sonst noch etwas beachten und wie kann ich überprüfen, ob alles richtig klappt (ob z.B. Niemand mehr unerlaupte Sachen anstellen kann)?

 

So, das war ja wohl einiges für den Anfang.

 

Vielen Dank

 

Dirk

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Im Prinzip ist das mit den Eingeschränkten Gruppen der richtige Weg, nur zwei Sachen:

 

1) Da du das auf der Domäne gemacht hast, und nicht auf einer/mehreren OUs gilt das auch für die DCs, das bedeutet, die User sind auch auf den DCs lokale Admins. Hmmm :rolleyes:

Also vielleicht die GPO filtern (Sicherheitseinstellungen und Gruppe Domaincontroller das Übernehmen der GPO verweigern :) )

 

2) Normalerweise ist die Gruppe Domänen-Admins automatisch auaf allen Rechnern in der lokalen Admingrupppe Mitglied. Bei dir jetzt nicht mehr, wenn ich das richtig in Erinnerung habe, da du die Domänen-admins nicht in die eingeschränkte Gruppe mit aufgenommen hast. Einfach an einem Client kontrollieren und ggf. anpassen

 

grizzly999

Link zu diesem Kommentar
dwoe Rookie

dwoe   10

Geschrieben
  • Autor
Geschrieben

Ein paar Fragen noch:

 

zu 1) die Benutzer sollten also nicht lokale Admins auf dem DC sein. Was bedeutet denn: Sicherheitseinstellungen und Gruppe Domaincontroller das Übernehmen der GPO verweigern. Wo und was muss ich da Einstellen und welche Auswirkungen hat es.

 

zu 2) Wie kann ich das kontrollieren? Mit welchem Befehl? Und was muss ich machen um das dann anzupassen?

 

 

Danke

 

Dirk

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...