Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Domain Users mit GPOs als lokale Administratoren zuweisen funktioniert nicht!

Mitglied: grillmaster

Windows 2003 DC, WinXPSP1 Clients

Hallo,
Bin schon seit Tagen an einer Lösung suchen, bis jetzt jedoch ohne Erfolg und hoffe hier könne mir jemand helfen.

Folgendes Problem: Ich muss hier Software einsetzen, die zwingend lokale Administrationsrechte benötigt. Nun habe ich nach einer eleganten Lösung gesucht, dies mit Gruppenrichtlinien zu realisieren und eine Domänen-Benutzer zu der Gruppe der lokalen Admins automatisch hinzuzufügen. Ueber das Login-Skript möchte ich das nicht lösen.

Ich habe folgendes versucht:

GPO -> Computer Configuration -> Windows Settings -> Security Settings -> Restrictet Groups und habe dort 3 Gruppen erstellt: Administrators (sollte nach meinem Kenntnisstand die Gruppe der lokalen Admins betreffen) Power Users und Domain Users.

Dann habe ich die entsprechenden User der jeweiligen Gruppen hinzugefügt. Bei den Domain Users und den Power Usern funktioniert das auch prächtig, jedoch bei den Administrators wird jeder automatisch zu einem Domänen-Admin... und das möchten wir ja wirklich nicht ;)

Hat jemand Erfahrung damit und kann mir das erklären? Wäre für Hilfe sehr dankbar!

Gruss Grillmaster

Content-Key: 1396

Url: https://administrator.de/contentid/1396

Ausgedruckt am: 24.10.2021 um 07:10 Uhr

Mitglied: Koeber
Koeber 30.06.2004 um 15:30:56 Uhr
Goto Top
Um lokale Administratorenrechte zu geniessen muss man sich auch lokal anmelden ;)
Mitglied: grillmaster
grillmaster 01.07.2004 um 08:00:34 Uhr
Goto Top
Öhm... ja, das ist schon klar... :) face-smile und dort liegt ja das Problem: ich möchte das ein normaler Domain User bei der Anmeldung automatisch in die Gruppe der lokalen Administratoren hinzugefügt wird. Mit dem Login-Skript lässt sich das mit diesem Befehl bewerkstelligen:

@354 localgroup "administrators" "local admin" /ADD wobei "local admin" die Gruppe der User enthält, die lokale Adminrechte bekommen sollen.

Aber ich möchte das mit GPO machen...

Sonst noch jemand eine Idee? Danke schon mal!
Mitglied: broker
broker 05.07.2004 um 20:25:09 Uhr
Goto Top
Habe das gleich Problem (jeder user soll auf dem lokalen rechner lokale administratorenrechte erhalten), will es aber mit einem Script lösen. Die lokale Gruppe heisst "administratoren", die im active directory angelegte globale Gruppe "alle". Also habe ich das folgende Script geschrieben:
net localgroup administratoren alle /add

Hierbei wird der Zugriff verweigert.

Gruss
broker



Öhm... ja, das ist schon klar... :) face-smile und
dort liegt ja das Problem: ich möchte
das ein normaler Domain User bei der
Anmeldung automatisch in die Gruppe der
lokalen Administratoren hinzugefügt
wird. Mit dem Login-Skript lässt sich
das mit diesem Befehl bewerkstelligen:

@354 localgroup "administrators"
"local admin" /ADD wobei
"local admin" die Gruppe der User
enthält, die lokale Adminrechte
bekommen sollen.

Aber ich möchte das mit GPO machen...

Sonst noch jemand eine Idee? Danke schon
mal!

Mitglied: grillmaster
grillmaster 06.07.2004 um 09:12:43 Uhr
Goto Top
@broker

Ich habe es nun aufgegeben, das Problem mit GPO-Richtlinien zu lösen. Ich kriege das einfach nicht hin. Ich mache es nun - wohl oder übel - mit dem Login-Skript. Damit das Prob. mit Access denided nicht kommt, lasse ich das Login-Skript mit GPO - Computer-Konfiguration - Skripts -Startup und dann folgendes Skript:

@ECHO OFF
net localgroup administrators /add domainnamelokaladmins
net localgroup "Power Users" /add domainnamelokalpower

ausführen. So wird das Skript vor der User-Anmeldung ausgeführt und läuft ohne Probleme. Nun so kann ich im AD der Gruppe lokaladmins oder lokalpower die User zuweisen. Oder eben auch wieder entfernen.
Mitglied: Frankman
Frankman 08.07.2004 um 14:45:30 Uhr
Goto Top
Hi,

zugegeben ein wenig durch die Brust aber so mach ich es (mittlerweile) weil auch keine andere Möglichkeit über GPO gefunden.

Im AD gibt es eine Gruppe WS-Admins; auf den PCs in unserem Netzwerk ist diese Gruppe Mitglied der lokalen Gruppe der Administratoren. Ein User der lokale Adminrechte braucht, wird einfach im AD der Gruppe WS-Admins zugefügt.

Gruss
Frankman
Mitglied: aschinnerl
aschinnerl 01.01.2008 um 19:06:20 Uhr
Goto Top
Ich habe leider genau das gleiche Problem.

Gibts schon eine Lösung?
Heiß diskutierte Beiträge
question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 1 TagFrageSicherheit21 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 1 TagFrageNetzwerke12 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 1 TagFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
ASUS H110M-A - TPM-Funktion im BIOS? gelöst SarekHLVor 22 StundenFrageCPU, RAM, Mainboards15 Kommentare

Hallo zusammen, weiß jemand sicher, ob das ASUS H110M-A/M.2 eine TPM-Funktion/Emulation im BIOS hat? Hier ist das Board ganz unten als Win11-kompatibel aufgeführt, aber während ...

question
Sfp 100Mbit Switch gesuchtjonasgrafeVor 22 StundenFrageSwitche und Hubs16 Kommentare

Hi zusammen, Bei uns der Firma ist heute Nacht ein Einsteckmodul (Lwl SC) von einem Siemens Scalance Switch gestorben. Über diese Module besteht eine Verbindung ...

question
HP Printerport schneller als TCPIP PrinterportAnulu1Vor 1 TagFrageDrucker und Scanner8 Kommentare

Hallo, ich habe einen Drucker über einen Printserver mit dem HP Printerprort installiert. Der Drucker ist über einen 100 mbit Lan Anschluß verbunden. Wenn ich ...

question
Von Outlook gesendete Nachricht kann vom Empfänger nicht angezeigt werdenfrosch2Vor 1 TagFrageOutlook & Mail11 Kommentare

Hallo, ich brauche eure Hilfe zur Selbsthilfe. Im moment sehe ich den Wald vor läuter Bäumen nicht. Problem: Ein Mitarbeiter von uns sendet mails mit ...

question
PfSense nach Änderung von "Block private networks and loopback addresses" nicht mehr erreichbarvafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht. Nach dem Bestätigen war ...