6
Alle lokalen Benutzer durch GPO deaktivieren?
Moin zusammen,
ich versuche auf den Clients per GPO alle lokalen Benutzer und Admins zu deaktivieren. Es reicht, wenn die Domain Gruppen als Admins vorhanden sind. Ich habe bisher nur Scripts gefunden, die das erledigen. Ich möchte es jedoch vermeiden, dass der User beim Anmelden durch ein Script gestört wird. Gibt es eine passende GPO Regel dafür?
Danke in Voraus and keep rockin
Der Mike
ich versuche auf den Clients per GPO alle lokalen Benutzer und Admins zu deaktivieren. Es reicht, wenn die Domain Gruppen als Admins vorhanden sind. Ich habe bisher nur Scripts gefunden, die das erledigen. Ich möchte es jedoch vermeiden, dass der User beim Anmelden durch ein Script gestört wird. Gibt es eine passende GPO Regel dafür?
Danke in Voraus and keep rockin
Der Mike
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 458572
Url: https://administrator.de/forum/alle-lokalen-benutzer-durch-gpo-deaktivieren-458572.html
Ausgedruckt am: 31.03.2025 um 08:03 Uhr
6 Kommentare
Neuester Kommentar
Hi,
Ein solches Script würde nicht als Benutzer-Loginscript laufen sondern als Computer-Startupscript. Oder als Scheduled Task unter LocalSystem.
Das würde der Benutzer also gar nicht mitbekommen. Es sei denn, Du baust dabei absichtlich "eine Bremse" ein.
E.
Ich habe bisher nur Scripts gefunden, die das erledigen.
Es geht ja auch bloß so.Ich möchte es jedoch vermeiden, dass der User beim Anmelden durch ein Script gestört wird.
Denkfehler!Ein solches Script würde nicht als Benutzer-Loginscript laufen sondern als Computer-Startupscript. Oder als Scheduled Task unter LocalSystem.
Das würde der Benutzer also gar nicht mitbekommen. Es sei denn, Du baust dabei absichtlich "eine Bremse" ein.
E.
Moin,
Gruß,
Dani
ich versuche auf den Clients per GPO alle lokalen Benutzer und Admins zu deaktivieren. Es reicht, wenn die Domain Gruppen als Admins vorhanden sind.
denke daran, das du dir auf jeden Fall einen Notfallplan bereitlegst. Denn wenn eine Anmeldung mit einem Benutzer/Admin aus der Domäne nicht mehr funktioniert, schaust du evtl. in die Röhre.Gruß,
Dani
Stimmt, einen lokalen User sollte ich behalten.
Ich habe noch keine Strategie, wenn verschiedene Administratoren einen neuen Client installieren. Man muss ja einen ersten Benutzer bei Ersteinrichtung eingeben und damit hochfahren, bevor man den Rechner in die Domäne melden kann. Der kann aber "irgendwie" heissen. Wie macht Ihr das, wenn so ein Rechner in die Domain kommt? Setzt Ihr LAPS ein? Passt Ihr manuell an?
Ich habe noch keine Strategie, wenn verschiedene Administratoren einen neuen Client installieren. Man muss ja einen ersten Benutzer bei Ersteinrichtung eingeben und damit hochfahren, bevor man den Rechner in die Domäne melden kann. Der kann aber "irgendwie" heissen. Wie macht Ihr das, wenn so ein Rechner in die Domain kommt? Setzt Ihr LAPS ein? Passt Ihr manuell an?
Moin,
Gruß,
Dani
Ich habe noch keine Strategie, wenn verschiedene Administratoren einen neuen Client installieren.
Evtl. ist WDS + MDT eine mittelfristige Lösung, um die Einrichtung einheitlich und vorallem einfach zugestalten. Wie macht Ihr das, wenn so ein Rechner in die Domain kommt?
gute Frage... da bin ich von der Praxis inzwischen zuweit weg.Setzt Ihr LAPS ein? Passt Ihr manuell an?
LAPS ist sicher kein Fehler. Alternativ hat Kollege @DerWoWusste eine alternative Variane ausgearbeitet. Dazu gibt es auch eine Anleitung hier im Forum.Gruß,
Dani
Zitat von @Dani:
LAPS ist sicher kein Fehler. Alternativ hat Kollege @DerWoWusste eine alternative Variane ausgearbeitet.
Na ja. Das sind keine Alternativen. Eher ergänzen sie sich.LAPS ist sicher kein Fehler. Alternativ hat Kollege @DerWoWusste eine alternative Variane ausgearbeitet.
N'Abend.
Kurzform:
LAPS und "eingeschränkte Gruppen" per GPO - damit räumt man die Admin-Gruppe auf allen Clients bei jedem GP-Durchlauf leer und fügt nur die definierten User/Gruppen wieder hinzu. Weiterhin aktiviert man darüber den lokalen Administrator-Account und nutzt LAPS mit dem Default-Administrator - der wird von LAPS anhand seiner SID gemanagt und kann daher auch problemlos umbenannt werden.
Alternativ baut man sich nen WDS und deployed seine Clients darüber, spart die manuelle Einrichtung etc.
Fragen? Fragen!
Cheers,
jsysde
Kurzform:
LAPS und "eingeschränkte Gruppen" per GPO - damit räumt man die Admin-Gruppe auf allen Clients bei jedem GP-Durchlauf leer und fügt nur die definierten User/Gruppen wieder hinzu. Weiterhin aktiviert man darüber den lokalen Administrator-Account und nutzt LAPS mit dem Default-Administrator - der wird von LAPS anhand seiner SID gemanagt und kann daher auch problemlos umbenannt werden.
Alternativ baut man sich nen WDS und deployed seine Clients darüber, spart die manuelle Einrichtung etc.
Fragen? Fragen!
Cheers,
jsysde
