7
Alle AD-Benutzer sind lokale Admins (auch neue) - das darf nicht sein
Hallo Freunde,
ich habe vor kurzem eine neue Stelle angenommen.
Ich muss nun auch einige Administrator-Aufgaben übernehmen - wogegen ich vorher "nur" Entwickler war. Aber auch egal :D
Nun soll verhindert werden, dass neue AD-Nutzer bzw. bestehende AD-Nutzer lokale Admins sind. Das ist ja nicht Standard, oder doch?! :O
Wie auch immer - mein Ziel ist folgendes:
Ich möchte nur eine Handvoll an Nutzern auf allen PCs lokale Adminrechte vergeben und das bitte per GPO. Ich möchte nicht zu allen PCs (>50) zu Fuß rennen bei jedem kleinen Sch***.
(Anleitungen, wie diese hier bringen nichts, da ja schon alle lokale Admins sind: https://www.youtube.com/watch?v=UlkIY2h7iYw - ich habe es natürlich trotzdem ausprobiert, weil ich gerade leicht verzweifelt bin.)
Server: Windows Server 2012
PCs: Win10 und (noch) Win7
Könnt ihr mir da helfen? Ich bin in dem Thema GPO noch nicht so drinne :/
Viele Dank für eure Antworten schon einmal.
ich habe vor kurzem eine neue Stelle angenommen.
Ich muss nun auch einige Administrator-Aufgaben übernehmen - wogegen ich vorher "nur" Entwickler war. Aber auch egal :D
Nun soll verhindert werden, dass neue AD-Nutzer bzw. bestehende AD-Nutzer lokale Admins sind. Das ist ja nicht Standard, oder doch?! :O
Wie auch immer - mein Ziel ist folgendes:
Ich möchte nur eine Handvoll an Nutzern auf allen PCs lokale Adminrechte vergeben und das bitte per GPO. Ich möchte nicht zu allen PCs (>50) zu Fuß rennen bei jedem kleinen Sch***.
(Anleitungen, wie diese hier bringen nichts, da ja schon alle lokale Admins sind: https://www.youtube.com/watch?v=UlkIY2h7iYw - ich habe es natürlich trotzdem ausprobiert, weil ich gerade leicht verzweifelt bin.)
Server: Windows Server 2012
PCs: Win10 und (noch) Win7
Könnt ihr mir da helfen? Ich bin in dem Thema GPO noch nicht so drinne :/
Viele Dank für eure Antworten schon einmal.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 521314
Url: https://administrator.de/forum/alle-ad-benutzer-sind-lokale-admins-auch-neue-das-darf-nicht-sein-521314.html
Ausgedruckt am: 21.04.2025 um 15:04 Uhr
7 Kommentare
Neuester Kommentar
Hi.
Dein Googlebegriff ist "restricted groups".
Sei aber gewarnt, dass sich evtl. diverse Leute darauf verlassen, diese Rechte zu haben aus dem einen oder anderen Grund. Gerade als neuer Kollege solltest Du dir also im Vorfeld Rückendeckung für diese Maßnahme verschaffen und diese auch ankündigen (was wird gemacht, wer hat's angeordnet).
Dein Googlebegriff ist "restricted groups".
Sei aber gewarnt, dass sich evtl. diverse Leute darauf verlassen, diese Rechte zu haben aus dem einen oder anderen Grund. Gerade als neuer Kollege solltest Du dir also im Vorfeld Rückendeckung für diese Maßnahme verschaffen und diese auch ankündigen (was wird gemacht, wer hat's angeordnet).
Hi,
danke dir
Danke dir auch für die Warnung! Damit hast du natürlich recht.
Der Google-Begriff ist mir schon geläufig.
Allerdings verstehe ich nicht, warum alle Nutzer automatisch lokale Admins sind. Wie finde ich denn heraus, in welcher GPO dies eingestellt ist?
Leider konnte ich im WWW kein Artikel finden, der mir diese Frage oder ähnliches beantwortet.
Ich glaube diese Frage hätte ich besser gestellt...
Oder hören die erst auf loakler Admin zu sein, wenn man eine neue GPO dafür erstellt?!
LG
danke dir
Danke dir auch für die Warnung! Damit hast du natürlich recht.
Der Google-Begriff ist mir schon geläufig.
Allerdings verstehe ich nicht, warum alle Nutzer automatisch lokale Admins sind. Wie finde ich denn heraus, in welcher GPO dies eingestellt ist?
Leider konnte ich im WWW kein Artikel finden, der mir diese Frage oder ähnliches beantwortet.
Ich glaube diese Frage hätte ich besser gestellt...
Oder hören die erst auf loakler Admin zu sein, wenn man eine neue GPO dafür erstellt?!
LG
Zitat von @LernwilligHoch10:
Allerdings verstehe ich nicht, warum alle Nutzer automatisch lokale Admins sind. Wie finde ich denn heraus, in welcher GPO dies eingestellt ist?
Es kann auch sein, dass das mal per GPO eingestellt wurde und diese GPO inzwischen nicht mehr existiert. Trotzdem steht dann an den Clients weiterhin in der lokalen Gruppe "Administratoren" die betreffende AD-Gruppe drin. Wahrscheinlich "Domänen-Benutzer".Allerdings verstehe ich nicht, warum alle Nutzer automatisch lokale Admins sind. Wie finde ich denn heraus, in welcher GPO dies eingestellt ist?
Du müsstest dann also, wie @dww schon schrieb, eine Gegen-GPO schreiben mit "eingeschränkte Gruppe" "Administratoren" und diese auf die betreffenden Computer wirken lassen.
Beachte:
Wenn Du das testest, dass die Benutzer solange lokale Admins bleiben, bis sich sich nach der Übernahme der GPO (Änderung der lokalen Administratoren-Gruppe) erst neu angemeldet haben.
E.
Hallo,
könnte es sein das jemand manuell bei jedem PC in der Admin Gruppe die Domain Gruppe "Domain User" eingefügt hat?
könnte es sein das jemand manuell bei jedem PC in der Admin Gruppe die Domain Gruppe "Domain User" eingefügt hat?
1
Hallo,
Das könnte ich mir auch vorstellen. Vermutlich war der Vorgänger zu faul, jede Programminstallation auszudiskutieren bzw. jedes Mal zum Nutzer hinzulaufen und das Passwort einzugeben
Gruß,
Jörg
Zitat von @wiesi200:
Hallo,
könnte es sein das jemand manuell bei jedem PC in der Admin Gruppe die Domain Gruppe "Domain User" eingefügt hat?
Hallo,
könnte es sein das jemand manuell bei jedem PC in der Admin Gruppe die Domain Gruppe "Domain User" eingefügt hat?
Das könnte ich mir auch vorstellen. Vermutlich war der Vorgänger zu faul, jede Programminstallation auszudiskutieren bzw. jedes Mal zum Nutzer hinzulaufen und das Passwort einzugeben
Gruß,
Jörg
1
Guten Morgen @wiesi200 und @fa-jka
Danke dir!! Auf diese Idee bin ich nicht gekommen... Jetzt darf ich quer durch das Gebäude laufen - da fehlen mir die Worte -.-
Also: genau das war / ist das Problem.
Allerdings - es tut mir leid, dass ich mit meiner Unwissenheit nerve - wird nun die GPO nicht übernommen. Der lokale Admin funktioniert nur, wenn ich die Gruppe explizit an dem Rechner als Administrator hinzufüge... Einen Tipp für mich?
Danke dir!! Auf diese Idee bin ich nicht gekommen... Jetzt darf ich quer durch das Gebäude laufen - da fehlen mir die Worte -.-
Also: genau das war / ist das Problem.
Allerdings - es tut mir leid, dass ich mit meiner Unwissenheit nerve - wird nun die GPO nicht übernommen. Der lokale Admin funktioniert nur, wenn ich die Gruppe explizit an dem Rechner als Administrator hinzufüge... Einen Tipp für mich?
Zitat von @LernwilligHoch10:
Guten Morgen @wiesi200 und @fa-jka
Danke dir!! Auf diese Idee bin ich nicht gekommen... Jetzt darf ich quer durch das Gebäude laufen - da fehlen mir die Worte -.-
Also: genau das war / ist das Problem.
Allerdings - es tut mir leid, dass ich mit meiner Unwissenheit nerve - wird nun die GPO nicht übernommen. Der lokale Admin funktioniert nur, wenn ich die Gruppe explizit an dem Rechner als Administrator hinzufüge... Einen Tipp für mich?
Guten Morgen @wiesi200 und @fa-jka
Danke dir!! Auf diese Idee bin ich nicht gekommen... Jetzt darf ich quer durch das Gebäude laufen - da fehlen mir die Worte -.-
Also: genau das war / ist das Problem.
Allerdings - es tut mir leid, dass ich mit meiner Unwissenheit nerve - wird nun die GPO nicht übernommen. Der lokale Admin funktioniert nur, wenn ich die Gruppe explizit an dem Rechner als Administrator hinzufüge... Einen Tipp für mich?
https://blog.netwrix.com/2018/09/18/how-to-add-delete-and-change-local-u ...
Mit einem Testrechner erstellen und dann remote auf alle anderen ausrollen.
Ich vermute mal, da hat jeman der bewuemlichkeit halber einfach die Domänenbenutzer in die lokale Admingruppe gepackt.
Die müßte man dann mit sowas ähnlichem wie
Remove-LocalGroupMember -Group 'Administrators' -Member ('Domain-Users') –Verbose
lks
