Jump to content

Lokale Adminrechte per GPO entfernen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

Ich möchte gerne über die Gruppenrichtlinie bei Windows 2000 (AD) verhindern, daß ein Domänenbenutzer lokale Adminrechte auf seiner Workstation bekommt, d.h. auch wenn dieser Benutzer als lokaler Administrator eingetragen ist, soll das über die GPO überschrieben werden (wenn möglich dauerhaft).

 

lg

Alfred

Link to comment

Meiner Erfahrung nach geht das das nicht per zentraler GPO, auch nicht mit der Richtlinie "Eingeschränkte Gruppen", da die Richtlinie Gruppen/Benutzer nur additiv, also zusätzlich zum Lokalen Administrator, in die lokale Adminsitratorengruppe hinzufügt. Nachhaltig liesse sich das wohl nur über einen lokalen Zugriff, interaktiv oder per Fernzugriff auf die Computerverwaltung, durch Entfernen des lokalen Administrators aus der Administratorengruppe regeln.

 

 

grizzly999

Link to comment

Also so genau habe ich das noch nicht verfolgt (weiso auch, denn wie soll sich ein normaler Benutzer zum lokalen Admin machen können? :suspect: :confused: ), aber wenn man dem Link glaubt, dann werden die lokalen Einstellungen komplett überschrieben:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird.

 

Oder versteh' ich da was falsch?

Link to comment

@ Velius

 

danke, super Tipp - werd mich morgen gleich damit auseinandersetzen, das könnte es sein.

 

Ein Benutzer kann sich dadurch zum lokalen Admin machen, indem er seinen Rechner neu aufsetzt. Nachdem per Standardrichtlinie es auch Domänenbenutzern erlaubt ist, 10 WS in die Domäne zu hängen, kann solcherlei Unfug nur dadurch verhindert werden, indem es nur mehr den Administratoren erlaubt wird, WS in die Domäne aufzunehmen und restriktive GPO´s zu erstellen, die die lokalen Einstellungen der Benutzergruppen überschreiben.

 

Es ist halt ein ewiger Kampf... :)

Link to comment
Original geschrieben von Velius

... aber wenn man dem Link glaubt, dann werden die lokalen Einstellungen komplett überschrieben:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

Die Botschaft hör' ich wohl, doch allein mir fehlt der Glaube :D

Goethe's Faust

Ja, so ungefähr steht es bei Kollege Mark, aber die reale Welt spricht anders, nämlich so wie ich ;)

 

Fürchte dich nicht, glaube nur!

Markus 5,36

 

... oder versuche es selbst :D

 

 

 

grizzly999

Link to comment

@wurzerl

 

 

Wenn du nicht willst, dass sie der Domäne beitretten können, dann versuch den folgenden Wert auf 0 zu setzen:

 

Domänenbenutzer können Workstation oder Server nicht zu einer Domäne hinzufügen

 

 

Methode 3: Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

Sie können das Standardlimit mit einer der folgenden Methoden außer Kraft setzen:

• Verwenden Sie das Tool Ldp (Ldp.exe), das im Microsoft Windows 2000 Resource Kit zu finden ist.

• Verwenden Sie ein ADSI-Skript (ADSI = Active Directory Services Interface), um den Wert des Active Directory-Attributs "ms-DS-MachineAccountQuota" zu erhöhen oder herabzusetzen.

 

 

Gruss

Velius

Link to comment

@Velius

 

danke für die Tipps - es funktioniert alles wunderbar :)

 

@ grizzly

 

ich hab´s probiert :D - es gibt keinen anderen Administrator mehr :D :D

 

Und dies ist die Lösung:

 

Richtlinie f. Default Domain Policy

 

# Kein Benutzer kann eine WS zur Domäne hinzufügen

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten

Hinzufügen von Arbeitsstationen zur Domäne

Domäne\Administrator

Domäne\Domänen-Admins

 

# Es kann nur einen geben :D

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen

 

Eine neue Gruppe mit dem Namen Administratoren erstellen

Folgende Benutzer und Gruppen als Mitglieder hinzufügen:

 

Administrator

Domäne\Administrator

Domäne\Domänen-Admins

 

 

Diese Maßnahme entfernt alle Mitglieder der lokalen Administratoren auf der WS und ersetzt sie durch die gewünschten.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...