woraxor
09.01.2024
view1297
view11
0
Goto Top

DC BuiltIn Administrator Gruppe per GPO erweitern

gelöstFrageMicrosoftWindows Server
Hallo Zusammen,

kann man per gpo die auf einem DC die BuiltIn Administratorgruppe mit zusätzlichen Gruppen erweitern?

Ich habe per GPO unter Computer -> Preferences -> Control Panel Settings -> Local Users and Group
die Zusätzliche Gruppe für die Built in Administratoren erstellt.

Mit gpresult /r wird mir auch gezeigt, das die Gruppenrichtline zieht....

Jedoch will der DomäneController mit dir Gruppe nicht mit aufnehmen.

VG
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 94172510876

Url: https://administrator.de/forum/dc-builtin-administrator-gruppe-per-gpo-erweitern-94172510876.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
Th0mKa
Th0mKa 09.01.2024 um 09:38:27 Uhr
Goto Top
Moin,

ja ist denn heute schon Freitag? Ein DC hat keine lokalen Gruppen.

/Thomas
Celiko
Celiko 09.01.2024 um 09:44:03 Uhr
Goto Top
Moin,

Erstell eine neue Gruppe und füge die Gruppe zu den dc admins hinzu in deiner AD.

Verstehe die Frage nicht genau aber ich glaube das ist dein Ziel? 😅

Vg
Woraxor
Woraxor 09.01.2024 um 09:45:49 Uhr
Goto Top
jep, das ist mein Ziel.

Möchte mir eigentlich Arbeit ersparen, indem ich die DCs einem Tier0 konzept mit hinzufügen möchte und dies über GPO verteilen will und daher nicht auf jedem DC einzeln rumdümpeln muss...

VG
Th0mKa
Th0mKa 09.01.2024 um 09:55:30 Uhr
Goto Top
Eine Gruppe die du auf einem DC anlegst wird auch auf allen anderen DCs erscheinen, denn wie schon erwähnt, ein DC hat keine lokalen Gruppen.

/Thomas
emeriks
emeriks 09.01.2024 aktualisiert um 09:57:15 Uhr
Goto Top
Hi,
Zitat von @Th0mKa:
ja ist denn heute schon Freitag? Ein DC hat keine lokalen Gruppen.
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC. Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.

Man kann also schon per GPO "lokale" Gruppen auf einem DC verwalten. Bloß ich würde das niemals über die GPP erledigen sondern über Richtlinien. Diese GPO muss dann für DC's der Domäne gelten und von diesen angewendet werden.

E.

Edit:
Der Sinn sei mal dahingestellt ...
erikro
Lösung erikro 09.01.2024 um 10:13:50 Uhr
Goto Top
Moin,

offenbar hast Du die Konzepte des AD und des Tiering und ihre Umsetzung nicht vollständig verstanden.

Erstmal: Builtin lässt man in der Regel in Ruhe. Das ist schon alles richtig so. face-wink

Weiter: Da dümpelt nichts auf einem DC einzeln herum. Alles, was ich an Rechten setze und an Gruppen einrichte, gilt immer für alle DCs. Es gibt weder lokale Gruppen noch lokale User. Wenn ich also einem User Domain-Admin-Rechte gebe, dann hat er die auf allen DCs.

Drittens: Du fügst einen DC nicht einem Tier0 hinzu. Der gehört zur Ebene Tier0. Um das Konzept umzusetzen, musst Du die Admins (Domain-Administratoren), die Zugriff auf die DCs haben so einschränken, dass sie sich nur auf den DCs und anderen Tier0-Servern anmelden dürfen. Das kann man durchaus per GPO durchsetzen.

Zum Schluss: Für das Verständnis des Tier-Konzepts und seiner Umsetzung hier zwei Links:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...

Die ganze Artikelreihe zu lesen, kann nicht schaden. face-wink

Liebe Grüße

Erik
Th0mKa
Th0mKa 09.01.2024 aktualisiert um 10:31:31 Uhr
Goto Top
Quote from @emeriks:
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC. Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.

Ja, so kann man das natürlich auch ausdrücken, ich fürchte aber der TO hat die ganze Thematik nicht richtig verstanden.

/Thomas
erikro
erikro 09.01.2024 um 10:45:53 Uhr
Goto Top
Moin,

Zitat von @emeriks:
Zitat von @Th0mKa:
ja ist denn heute schon Freitag? Ein DC hat keine lokalen Gruppen.
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC.

Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.

Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.

Eben. Damit sind es keine lokalen Gruppen des DCs, sondern der Domain.

Man kann also schon per GPO "lokale" Gruppen auf einem DC verwalten. Bloß ich würde das niemals über die GPP erledigen sondern über Richtlinien. Diese GPO muss dann für DC's der Domäne gelten und von diesen angewendet werden.

Edit:
Der Sinn sei mal dahingestellt ...

Eben. Warum sollte ich das tun und nicht entweder die GUI oder die Shell benutzen, um das eleganter und auch - ich sage mal - praxiskonformer zu lösen?

Liebe Grüße

Erik
Woraxor
Woraxor 09.01.2024 um 10:56:10 Uhr
Goto Top
Ahh okay, glaub jetzt habe ichs -> ich hatte bei der T0.Admin Group an eine Seperate Gruppe gedacht....klar wenn die T0.Admin Group = Domäne Admin ist dann passts ja -> Ergibt dann natürlich auch Sinn...

Super, Danke euch für die Erklärung face-smile


VG
emeriks
emeriks 09.01.2024 um 11:17:05 Uhr
Goto Top
Zitat von @erikro:
Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Ich glaube nicht, dass das was mit Philosophie zu tun hat. face-wink
Aber Vorsicht! "Domänenlokal" hat hier nichts damit zu tun, dass nur diese Gruppen in der "lokalen" Domäne gespeichert würden und die anderen nicht.
erikro
erikro 09.01.2024 um 11:51:59 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @erikro:
Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Ich glaube nicht, dass das was mit Philosophie zu tun hat. face-wink

Doch. face-wink Je nach dem wie man die Kategorie "lokal" definiert, kommt man zu verschiedenen Ergebnissen:

Lokal -eq "Nur auf diesem Computer". Daraus folgt: Es gibt auf dem DC keine lokalen Gruppen, da es keine gibt, die nur auf diesem Computer existieren.

Lokal -eq "Nur in dieser Domain". Daraus folgt, dass die domainlokalen Gruppen gemeint sind, da diese ausschließlich in der Domain, in der sie liegen, sichtbar und gültig sind.

Lokal -eq "In dieser Domain gespeichert". Daraus folgt, dass alle in der Domain existierenden Gruppen lokal sind also auch globale und universelle. Diese Definition wäre aber einigermaßen sinnbefreit. face-wink

Liebe Grüße

Erik
gelöstFrageMicrosoftWindows Server
Mehr von WoraxorWoraxorHybrid Wizard schlägt fehlWoraxor - 4 KommentareWoraxorExchange Postfachmigration schlägt fehlWoraxor - 4 KommentareWoraxorDomäne schon vergebenWoraxor - 8 KommentareWoraxorSFIRM Flickercode kann nicht angezeigt werdenWoraxor - 3 Kommentare
Heiß diskutiert
NullcheckPortweiterleitung ist böse. tatsächlich? (Externzugriff auf Fritzbox)Nullcheck - 36 Kommentarem.sterZwei lokale Mailserver - Lösungsweg gesuchtm.ster - 30 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 24 KommentareMicitiEmpfehlung Hardware für Heim-NetzwerkMiciti - 22 Kommentareukulele-7Keine DNS-Auflösung auf bestimmte Domainukulele-7 - 22 KommentareJudgelgSharepoint Teams Kalender erstellenJudgelg - 21 KommentareMysticFoxDEIntel feuert Pat - Halleluja!MysticFoxDE - 19 KommentareVisuciusDevolutions Remote Desktop Manager - bin begeistert!Visucius - 15 KommentareBN2023Excel - Problem mit WENN-DANN Formel für eine VertretungsregelBN2023 - 15 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 KommentareHaralabosHilfe bei E-Mail-Analyse: Absender einer anonymen Nachricht herausfindenHaralabos - 13 Kommentare