Per GPO die Benutzer der lokalen Administratoren ersetzen

[Wurzerl 10]

Richtlinie f. Default Domain Policy

 

# Kein Benutzer kann eine WS zur Domäne hinzufügen

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten

Hinzufügen von Arbeitsstationen zur Domäne

Domäne\Administrator

Domäne\Domänen-Admins

 

# Es kann nur einen geben

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen

 

Eine neue Gruppe mit dem Namen Administratoren erstellen

Folgende Benutzer und Gruppen als Mitglieder hinzufügen:

 

Administrator

Domäne\Administrator

Domäne\Domänen-Admins

 

 

Diese Maßnahme entfernt alle Mitglieder der lokalen Administratoren auf der WS und ersetzt sie durch die gewünschten.

[Velius 10]

Tolle Tipps, aber trotzdem, dir ist bewusst, dass die obere Richtlinie nur für Domänen Controller zählt?

 

Für den noch nicht der Domäne angehörenden PC kann es ja nicht sein, denn der zieht ja logischerweise noch keine Policies (da noch kein Konto zugeordent, somit in keiner OU.....).

 

 

Diese Richtlinie ist nur auf Domänencontrollern gültig. Standardmäßig verfügt jeder authentifizierte Benutzer über dieses Recht und kann in der Domäne bis zu 10 Computerkonten erstellen.

[Wurzerl 10]

IMHO können nur mehr zugelassene Benutzer & Gruppen WS zur Domäne hinzufügen, da die authentifizierten Benutzer aus dieser Richtlinie entfernt worden sind.

 

In diesem Falle ist es nur dem "Herrn Administrator" der Domäne und den Mitgliedern der Gruppe der Domänen-Administratoren möglich, eine WS in die Domäne einzufügen.

[grizzly999 11]

Was Velius mitteilen wollte ist, dass die Richtlinie nur wirkt, wenn sie in der Domäne auf die OU Domain Controllers wirkt. Auf OUs mit anderen, normalen Computerkonten ist sie wirkungslos, da die genannte Einstellung auf den DCs vorgenommen werden muss.

 

 

grizzly999