Jump to content

Lokale Adminrechte per GPO entfernen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Meiner Erfahrung nach geht das das nicht per zentraler GPO, auch nicht mit der Richtlinie "Eingeschränkte Gruppen", da die Richtlinie Gruppen/Benutzer nur additiv, also zusätzlich zum Lokalen Administrator, in die lokale Adminsitratorengruppe hinzufügt. Nachhaltig liesse sich das wohl nur über einen lokalen Zugriff, interaktiv oder per Fernzugriff auf die Computerverwaltung, durch Entfernen des lokalen Administrators aus der Administratorengruppe regeln.

 

 

grizzly999

Link zu diesem Kommentar

Also so genau habe ich das noch nicht verfolgt (weiso auch, denn wie soll sich ein normaler Benutzer zum lokalen Admin machen können? :suspect: :confused: ), aber wenn man dem Link glaubt, dann werden die lokalen Einstellungen komplett überschrieben:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird.

 

Oder versteh' ich da was falsch?

Link zu diesem Kommentar

@ Velius

 

danke, super Tipp - werd mich morgen gleich damit auseinandersetzen, das könnte es sein.

 

Ein Benutzer kann sich dadurch zum lokalen Admin machen, indem er seinen Rechner neu aufsetzt. Nachdem per Standardrichtlinie es auch Domänenbenutzern erlaubt ist, 10 WS in die Domäne zu hängen, kann solcherlei Unfug nur dadurch verhindert werden, indem es nur mehr den Administratoren erlaubt wird, WS in die Domäne aufzunehmen und restriktive GPO´s zu erstellen, die die lokalen Einstellungen der Benutzergruppen überschreiben.

 

Es ist halt ein ewiger Kampf... :)

Link zu diesem Kommentar
Original geschrieben von Velius

... aber wenn man dem Link glaubt, dann werden die lokalen Einstellungen komplett überschrieben:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

Die Botschaft hör' ich wohl, doch allein mir fehlt der Glaube :D

Goethe's Faust

Ja, so ungefähr steht es bei Kollege Mark, aber die reale Welt spricht anders, nämlich so wie ich ;)

 

Fürchte dich nicht, glaube nur!

Markus 5,36

 

... oder versuche es selbst :D

 

 

 

grizzly999

Link zu diesem Kommentar

@wurzerl

 

 

Wenn du nicht willst, dass sie der Domäne beitretten können, dann versuch den folgenden Wert auf 0 zu setzen:

 

Domänenbenutzer können Workstation oder Server nicht zu einer Domäne hinzufügen

 

 

Methode 3: Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

Sie können das Standardlimit mit einer der folgenden Methoden außer Kraft setzen:

• Verwenden Sie das Tool Ldp (Ldp.exe), das im Microsoft Windows 2000 Resource Kit zu finden ist.

• Verwenden Sie ein ADSI-Skript (ADSI = Active Directory Services Interface), um den Wert des Active Directory-Attributs "ms-DS-MachineAccountQuota" zu erhöhen oder herabzusetzen.

 

 

Gruss

Velius

Link zu diesem Kommentar

@Velius

 

danke für die Tipps - es funktioniert alles wunderbar :)

 

@ grizzly

 

ich hab´s probiert :D - es gibt keinen anderen Administrator mehr :D :D

 

Und dies ist die Lösung:

 

Richtlinie f. Default Domain Policy

 

# Kein Benutzer kann eine WS zur Domäne hinzufügen

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten

Hinzufügen von Arbeitsstationen zur Domäne

Domäne\Administrator

Domäne\Domänen-Admins

 

# Es kann nur einen geben :D

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen

 

Eine neue Gruppe mit dem Namen Administratoren erstellen

Folgende Benutzer und Gruppen als Mitglieder hinzufügen:

 

Administrator

Domäne\Administrator

Domäne\Domänen-Admins

 

 

Diese Maßnahme entfernt alle Mitglieder der lokalen Administratoren auf der WS und ersetzt sie durch die gewünschten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...