8
Domain-Admin bei lokaler Workstation per default lokaler Administrator?
Hallo Zusammen,
ich werde hier gerade nicht ganz schlau draus.
Sobald ich einen Rechner in die Domäne nehme, ist in der lokalen Admin-Gruppe Domain\Domain-Admins drin.
Ich finde aber keine GPO die das einträgt. Ist diese Einstellung per Default gesetzt?
Hintergrund: Ich habe einen Azubi und dieser hat einen Admin-Benutzer, welcher als Lokaler Admin eingetragen werden kann, aber er soll noch kein Domain-Admin-Recht erhalten. Diesen wollte ich dort eintragen, aber finde nicht wo.
Einzige Lösung ist über die restricted groups, habe aber oft gelesen, dass bei Aktivierung dieser Einstellung, dann alle anderen lokalen Admins entfernt werden.
Jemand eine Idee, wie ich das sonst lösen kann?
Danke.
ich werde hier gerade nicht ganz schlau draus.
Sobald ich einen Rechner in die Domäne nehme, ist in der lokalen Admin-Gruppe Domain\Domain-Admins drin.
Ich finde aber keine GPO die das einträgt. Ist diese Einstellung per Default gesetzt?
Hintergrund: Ich habe einen Azubi und dieser hat einen Admin-Benutzer, welcher als Lokaler Admin eingetragen werden kann, aber er soll noch kein Domain-Admin-Recht erhalten. Diesen wollte ich dort eintragen, aber finde nicht wo.
Einzige Lösung ist über die restricted groups, habe aber oft gelesen, dass bei Aktivierung dieser Einstellung, dann alle anderen lokalen Admins entfernt werden.
Jemand eine Idee, wie ich das sonst lösen kann?
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73727286435
Url: https://administrator.de/contentid/73727286435
Printed on: April 28, 2024 at 08:04 o'clock
8 Comments
Latest comment
Moin,
Gruß,
Dani
Ich finde aber keine GPO die das einträgt. Ist diese Einstellung per Default gesetzt?
Ja.Einzige Lösung ist über die restricted groups, habe aber oft gelesen, dass bei Aktivierung dieser Einstellung, dann alle anderen lokalen Admins entfernt werden
Das ist nur der Fall, wenn man die GPO nicht korrekt angelegt. Wir nutzen das Feature per GPO seit Jahren und haben damit keinerlei Probleme. Wie immer zuerst in einer Test Umgebung die GPO bauen, Testen und ggf. Korrektur vornehmen. Danach in die Produktiv Umgebung exportieren bzw. importieren.Gruß,
Dani
1
Ist diese Einstellung per Default gesetzt?
Ja, ganz ohne GPOs und auch nicht ohne GPOs abstellbar.Lösung ist über die restricted groups, habe aber oft gelesen, dass bei Aktivierung dieser Einstellung, dann alle anderen lokalen Admins entfernt werden.
Nein, man kann es auf zwei Weisen benutzen, die eine fügt Konten hinzu, die andere leert zunächst die ganze Gruppe.
Ich hatte mal nach einem AD dirty shutdown defekte gpo's welche da waren aber nicht mehr sichtbar am AD..
lass doch mal das script laufen --> https://github.com/tasox/PowerShell_scripts
lass doch mal das script laufen --> https://github.com/tasox/PowerShell_scripts
1
@westberliner:
Hhmmm, wenn der Azubi einen nicht-administrativen AD-Account auf seinen eigenen Namen hat, dann kannst Du ihn (bzw. seinen AD-Account) an der Kiste, wo er zwar Admin, aber nicht Dom.-Admin sein soll, in der lokalen Computerverwaltung zum lokalen Admin machen - gilt dann nur für diesen Rechner.
Viele Grüße
von
departure69
Hhmmm, wenn der Azubi einen nicht-administrativen AD-Account auf seinen eigenen Namen hat, dann kannst Du ihn (bzw. seinen AD-Account) an der Kiste, wo er zwar Admin, aber nicht Dom.-Admin sein soll, in der lokalen Computerverwaltung zum lokalen Admin machen - gilt dann nur für diesen Rechner.
Viele Grüße
von
departure69
1
Danke, ich habe es verstanden. Habe ihn jetzt über restricted groups als lokalen Admin bei den Clients eingetragen, das funktioniert.
Hier ist noch ein interessantes Video dazu.
https://itfreetraining.com/lesson/gp-restricted-groups/
Hier ist noch ein interessantes Video dazu.
https://itfreetraining.com/lesson/gp-restricted-groups/
Hallo
Ich verstehe Dein Problem nicht. Dein Azubi bekommt hierdurch doch nicht automatisch irgendwelche Domain-Admin-Rechte zugeteilt. Ich glaube, Du verdrehst da was.
cu,
ipzipzap
Hintergrund: Ich habe einen Azubi und dieser hat einen Admin-Benutzer, welcher als Lokaler Admin eingetragen werden kann, aber er soll noch kein Domain-Admin-Recht erhalten. Diesen wollte ich dort eintragen, aber finde nicht wo.
Ich verstehe Dein Problem nicht. Dein Azubi bekommt hierdurch doch nicht automatisch irgendwelche Domain-Admin-Rechte zugeteilt. Ich glaube, Du verdrehst da was.
cu,
ipzipzap
Sei Dir bewusst, dass er jetzt ein sehr begehrliches Konto hat, denn es hat auf x Maschinen Adminrechte.
Ich rate dringend davon ab.
Schau Dir meinen Ansatz an: Sicherer Umgang mit Supportkonten
Ich rate dringend davon ab.
Schau Dir meinen Ansatz an: Sicherer Umgang mit Supportkonten
1Ich verstehe Dein Problem nicht. Dein Azubi bekommt hierdurch doch nicht automatisch irgendwelche Domain-Admin-Rechte zugeteilt. Ich glaube, Du verdrehst da was.
Alles fein, ich dachte die Domain-Admins kommen per GPO in die lokalen Administratoren rein und habe diese Richtlinie gesucht - dabei ist es Windows-Domain-Default Einstellung.
Ich habe seinen Admin-Account über Restricted Groups erstmal eingetragen, das funktioniert soweit.
Die andere Umsetzung muss ich mir mal anschauen, wenn ich etwas mehr Luft habe.
