Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Alle AD-Benutzer sind lokale Admins (auch neue) - das darf nicht sein

Mitglied: LernwilligHoch10

LernwilligHoch10 (Level 1) - Jetzt verbinden

03.12.2019 um 13:36 Uhr, 445 Aufrufe, 7 Kommentare, 2 Danke

Hallo Freunde,

ich habe vor kurzem eine neue Stelle angenommen.
Ich muss nun auch einige Administrator-Aufgaben übernehmen - wogegen ich vorher "nur" Entwickler war. Aber auch egal :D

Nun soll verhindert werden, dass neue AD-Nutzer bzw. bestehende AD-Nutzer lokale Admins sind. Das ist ja nicht Standard, oder doch?! :O

Wie auch immer - mein Ziel ist folgendes:
Ich möchte nur eine Handvoll an Nutzern auf allen PCs lokale Adminrechte vergeben und das bitte per GPO. Ich möchte nicht zu allen PCs (>50) zu Fuß rennen bei jedem kleinen Sch***.

(Anleitungen, wie diese hier bringen nichts, da ja schon alle lokale Admins sind: https://www.youtube.com/watch?v=UlkIY2h7iYw - ich habe es natürlich trotzdem ausprobiert, weil ich gerade leicht verzweifelt bin.)

Server: Windows Server 2012
PCs: Win10 und (noch) Win7

Könnt ihr mir da helfen? Ich bin in dem Thema GPO noch nicht so drinne :/
Viele Dank für eure Antworten schon einmal.
Mitglied: DerWoWusste
03.12.2019 um 14:05 Uhr
Hi.

Dein Googlebegriff ist "restricted groups".
Sei aber gewarnt, dass sich evtl. diverse Leute darauf verlassen, diese Rechte zu haben aus dem einen oder anderen Grund. Gerade als neuer Kollege solltest Du dir also im Vorfeld Rückendeckung für diese Maßnahme verschaffen und diese auch ankündigen (was wird gemacht, wer hat's angeordnet).
Bitte warten ..
Mitglied: LernwilligHoch10
03.12.2019, aktualisiert um 14:18 Uhr
Hi,
danke dir
Danke dir auch für die Warnung! Damit hast du natürlich recht.

Der Google-Begriff ist mir schon geläufig.
Allerdings verstehe ich nicht, warum alle Nutzer automatisch lokale Admins sind. Wie finde ich denn heraus, in welcher GPO dies eingestellt ist?
Leider konnte ich im WWW kein Artikel finden, der mir diese Frage oder ähnliches beantwortet.

Ich glaube diese Frage hätte ich besser gestellt...

Oder hören die erst auf loakler Admin zu sein, wenn man eine neue GPO dafür erstellt?!

LG
Bitte warten ..
Mitglied: emeriks
03.12.2019 um 14:21 Uhr
Zitat von LernwilligHoch10:
Allerdings verstehe ich nicht, warum alle Nutzer automatisch lokale Admins sind. Wie finde ich denn heraus, in welcher GPO dies eingestellt ist?
Es kann auch sein, dass das mal per GPO eingestellt wurde und diese GPO inzwischen nicht mehr existiert. Trotzdem steht dann an den Clients weiterhin in der lokalen Gruppe "Administratoren" die betreffende AD-Gruppe drin. Wahrscheinlich "Domänen-Benutzer".

Du müsstest dann also, wie @DWW schon schrieb, eine Gegen-GPO schreiben mit "eingeschränkte Gruppe" "Administratoren" und diese auf die betreffenden Computer wirken lassen.

Beachte:
Wenn Du das testest, dass die Benutzer solange lokale Admins bleiben, bis sich sich nach der Übernahme der GPO (Änderung der lokalen Administratoren-Gruppe) erst neu angemeldet haben.

E.
Bitte warten ..
Mitglied: wiesi200
03.12.2019 um 14:31 Uhr
Hallo,

könnte es sein das jemand manuell bei jedem PC in der Admin Gruppe die Domain Gruppe "Domain User" eingefügt hat?
Bitte warten ..
Mitglied: FA-jka
03.12.2019, aktualisiert um 19:26 Uhr
Hallo,

Zitat von wiesi200:

Hallo,

könnte es sein das jemand manuell bei jedem PC in der Admin Gruppe die Domain Gruppe "Domain User" eingefügt hat?

Das könnte ich mir auch vorstellen. Vermutlich war der Vorgänger zu faul, jede Programminstallation auszudiskutieren bzw. jedes Mal zum Nutzer hinzulaufen und das Passwort einzugeben

Gruß,
Jörg
Bitte warten ..
Mitglied: LernwilligHoch10
04.12.2019, aktualisiert um 08:02 Uhr
Guten Morgen @wiesi200 und @FA-jka
Danke dir!! Auf diese Idee bin ich nicht gekommen... Jetzt darf ich quer durch das Gebäude laufen - da fehlen mir die Worte -.-
Also: genau das war / ist das Problem.

Allerdings - es tut mir leid, dass ich mit meiner Unwissenheit nerve - wird nun die GPO nicht übernommen. Der lokale Admin funktioniert nur, wenn ich die Gruppe explizit an dem Rechner als Administrator hinzufüge... Einen Tipp für mich?
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2019, aktualisiert um 09:02 Uhr
Zitat von LernwilligHoch10:

Guten Morgen @wiesi200 und @FA-jka
Danke dir!! Auf diese Idee bin ich nicht gekommen... Jetzt darf ich quer durch das Gebäude laufen - da fehlen mir die Worte -.-
Also: genau das war / ist das Problem.

Allerdings - es tut mir leid, dass ich mit meiner Unwissenheit nerve - wird nun die GPO nicht übernommen. Der lokale Admin funktioniert nur, wenn ich die Gruppe explizit an dem Rechner als Administrator hinzufüge... Einen Tipp für mich?

https://blog.netwrix.com/2018/09/18/how-to-add-delete-and-change-local-u ...

Mit einem Testrechner erstellen und dann remote auf alle anderen ausrollen.

Ich vermute mal, da hat jeman der bewuemlichkeit halber einfach die Domänenbenutzer in die lokale Admingruppe gepackt.

Die müßte man dann mit sowas ähnlichem wie
Remove-LocalGroupMember -Group 'Administrators' -Member ('Domain-Users') –Verbose
wieder rauswerfen können. (Nicht selbst ausprobiert, solle aber schnell zu überprüfen sein).


lks
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

AD Admin-Konten automatisch lokal cachen?

Frage von 1410640014Windows Userverwaltung4 Kommentare

Hallo, ich weiß leider nicht, ob das technisch, bzw. überhaupt aus Sicherheitsgründen machbar ist: Problem: eine Windows 2012-AD-Domäne Windows ...

Firewall

PfSense Nutzer Authentifizierung (AD oder Lokal)

Frage von matze2090Firewall10 Kommentare

Hallo, gibt es die Möglichkeit das man Nutzer anlegen kann und die sich dann anmelden können. Unter IPFire gibt ...

Windows Userverwaltung

LAPS- Lokal Admin Password Solution per GPO verteilen

Frage von hukahu23489Windows Userverwaltung8 Kommentare

Moin zusammen, ich habe vor ca. zwei Wochen LAPS in einer MS Server 2012 Umgebung erfolgreich "teilweise" implementiert. Alle ...

Windows 7

Bitlocker LW läßt sich lokal nur als Admin freischalten

gelöst Frage von UweGriWindows 79 Kommentare

Liebe Admins, MS und seine Updates … Hier sind bei W7 alle LW Bitlocker chiffriert. C per TPM + ...

Neue Wissensbeiträge
Windows Tools
7-Zip v19.0 MSI silent uninstall
Tipp von Dirmhirn vor 15 StundenWindows Tools4 Kommentare

Hi, ich versuchte grade 7-Zip v19.0 MSI silent zu deinstallieren. mit msiexec /x stürzt mir immer der Explorer ab. ...

Windows 10

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Tipp von beidermachtvongreyscull vor 20 StundenWindows 101 Kommentar

Moin Kollegen, ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf ...

Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 5 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 6 TagenDatenschutz

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless20 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows 10
Win10 Build Nummer auslesen
Frage von MotoMicWindows 1017 Kommentare

Hallo, ich habe hier einen Windows 10 Pro installierten Rechner. Leider ist mir nicht bekannt, welche Build Nummer installiert ...

Server-Hardware
Anschaffung neuer Server
Frage von tschip1801Server-Hardware13 Kommentare

unsere Firma bekommt einen neuen Server, ich bin schon sehr lange nicht mehr so tief im geschehen um hier ...