6
Domain Users mit GPOs als lokale Administratoren zuweisen funktioniert nicht!
Windows 2003 DC, WinXPSP1 Clients
Hallo,
Bin schon seit Tagen an einer Lösung suchen, bis jetzt jedoch ohne Erfolg und hoffe hier könne mir jemand helfen.
Folgendes Problem: Ich muss hier Software einsetzen, die zwingend lokale Administrationsrechte benötigt. Nun habe ich nach einer eleganten Lösung gesucht, dies mit Gruppenrichtlinien zu realisieren und eine Domänen-Benutzer zu der Gruppe der lokalen Admins automatisch hinzuzufügen. Ueber das Login-Skript möchte ich das nicht lösen.
Ich habe folgendes versucht:
GPO -> Computer Configuration -> Windows Settings -> Security Settings -> Restrictet Groups und habe dort 3 Gruppen erstellt: Administrators (sollte nach meinem Kenntnisstand die Gruppe der lokalen Admins betreffen) Power Users und Domain Users.
Dann habe ich die entsprechenden User der jeweiligen Gruppen hinzugefügt. Bei den Domain Users und den Power Usern funktioniert das auch prächtig, jedoch bei den Administrators wird jeder automatisch zu einem Domänen-Admin... und das möchten wir ja wirklich nicht ;)
Hat jemand Erfahrung damit und kann mir das erklären? Wäre für Hilfe sehr dankbar!
Gruss Grillmaster
Hallo,
Bin schon seit Tagen an einer Lösung suchen, bis jetzt jedoch ohne Erfolg und hoffe hier könne mir jemand helfen.
Folgendes Problem: Ich muss hier Software einsetzen, die zwingend lokale Administrationsrechte benötigt. Nun habe ich nach einer eleganten Lösung gesucht, dies mit Gruppenrichtlinien zu realisieren und eine Domänen-Benutzer zu der Gruppe der lokalen Admins automatisch hinzuzufügen. Ueber das Login-Skript möchte ich das nicht lösen.
Ich habe folgendes versucht:
GPO -> Computer Configuration -> Windows Settings -> Security Settings -> Restrictet Groups und habe dort 3 Gruppen erstellt: Administrators (sollte nach meinem Kenntnisstand die Gruppe der lokalen Admins betreffen) Power Users und Domain Users.
Dann habe ich die entsprechenden User der jeweiligen Gruppen hinzugefügt. Bei den Domain Users und den Power Usern funktioniert das auch prächtig, jedoch bei den Administrators wird jeder automatisch zu einem Domänen-Admin... und das möchten wir ja wirklich nicht ;)
Hat jemand Erfahrung damit und kann mir das erklären? Wäre für Hilfe sehr dankbar!
Gruss Grillmaster
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1396
Url: https://administrator.de/contentid/1396
Ausgedruckt am: 26.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Um lokale Administratorenrechte zu geniessen muss man sich auch lokal anmelden ;)
Öhm... ja, das ist schon klar... 
und dort liegt ja das Problem: ich möchte das ein normaler Domain User bei der Anmeldung automatisch in die Gruppe der lokalen Administratoren hinzugefügt wird. Mit dem Login-Skript lässt sich das mit diesem Befehl bewerkstelligen:
@354 localgroup "administrators" "local admin" /ADD wobei "local admin" die Gruppe der User enthält, die lokale Adminrechte bekommen sollen.
Aber ich möchte das mit GPO machen...
Sonst noch jemand eine Idee? Danke schon mal!
und dort liegt ja das Problem: ich möchte das ein normaler Domain User bei der Anmeldung automatisch in die Gruppe der lokalen Administratoren hinzugefügt wird. Mit dem Login-Skript lässt sich das mit diesem Befehl bewerkstelligen:@354 localgroup "administrators" "local admin" /ADD wobei "local admin" die Gruppe der User enthält, die lokale Adminrechte bekommen sollen.
Aber ich möchte das mit GPO machen...
Sonst noch jemand eine Idee? Danke schon mal!
Habe das gleich Problem (jeder user soll auf dem lokalen rechner lokale administratorenrechte erhalten), will es aber mit einem Script lösen. Die lokale Gruppe heisst "administratoren", die im active directory angelegte globale Gruppe "alle". Also habe ich das folgende Script geschrieben:
net localgroup administratoren alle /add
Hierbei wird der Zugriff verweigert.
Gruss
broker
net localgroup administratoren alle /add
Hierbei wird der Zugriff verweigert.
Gruss
broker
Öhm... ja, das ist schon klar... und
dort liegt ja das Problem: ich möchte
das ein normaler Domain User bei der
Anmeldung automatisch in die Gruppe der
lokalen Administratoren hinzugefügt
wird. Mit dem Login-Skript lässt sich
das mit diesem Befehl bewerkstelligen:
@354 localgroup "administrators"
"local admin" /ADD wobei
"local admin" die Gruppe der User
enthält, die lokale Adminrechte
bekommen sollen.
Aber ich möchte das mit GPO machen...
Sonst noch jemand eine Idee? Danke schon
mal!
unddort liegt ja das Problem: ich möchte
das ein normaler Domain User bei der
Anmeldung automatisch in die Gruppe der
lokalen Administratoren hinzugefügt
wird. Mit dem Login-Skript lässt sich
das mit diesem Befehl bewerkstelligen:
@354 localgroup "administrators"
"local admin" /ADD wobei
"local admin" die Gruppe der User
enthält, die lokale Adminrechte
bekommen sollen.
Aber ich möchte das mit GPO machen...
Sonst noch jemand eine Idee? Danke schon
mal!
@broker
Ich habe es nun aufgegeben, das Problem mit GPO-Richtlinien zu lösen. Ich kriege das einfach nicht hin. Ich mache es nun - wohl oder übel - mit dem Login-Skript. Damit das Prob. mit Access denided nicht kommt, lasse ich das Login-Skript mit GPO - Computer-Konfiguration - Skripts -Startup und dann folgendes Skript:
@echo OFF
net localgroup administrators /add domainnamelokaladmins
net localgroup "Power Users" /add domainnamelokalpower
ausführen. So wird das Skript vor der User-Anmeldung ausgeführt und läuft ohne Probleme. Nun so kann ich im AD der Gruppe lokaladmins oder lokalpower die User zuweisen. Oder eben auch wieder entfernen.
Ich habe es nun aufgegeben, das Problem mit GPO-Richtlinien zu lösen. Ich kriege das einfach nicht hin. Ich mache es nun - wohl oder übel - mit dem Login-Skript. Damit das Prob. mit Access denided nicht kommt, lasse ich das Login-Skript mit GPO - Computer-Konfiguration - Skripts -Startup und dann folgendes Skript:
@echo OFF
net localgroup administrators /add domainnamelokaladmins
net localgroup "Power Users" /add domainnamelokalpower
ausführen. So wird das Skript vor der User-Anmeldung ausgeführt und läuft ohne Probleme. Nun so kann ich im AD der Gruppe lokaladmins oder lokalpower die User zuweisen. Oder eben auch wieder entfernen.
Hi,
zugegeben ein wenig durch die Brust aber so mach ich es (mittlerweile) weil auch keine andere Möglichkeit über GPO gefunden.
Im AD gibt es eine Gruppe WS-Admins; auf den PCs in unserem Netzwerk ist diese Gruppe Mitglied der lokalen Gruppe der Administratoren. Ein User der lokale Adminrechte braucht, wird einfach im AD der Gruppe WS-Admins zugefügt.
Gruss
Frankman
zugegeben ein wenig durch die Brust aber so mach ich es (mittlerweile) weil auch keine andere Möglichkeit über GPO gefunden.
Im AD gibt es eine Gruppe WS-Admins; auf den PCs in unserem Netzwerk ist diese Gruppe Mitglied der lokalen Gruppe der Administratoren. Ein User der lokale Adminrechte braucht, wird einfach im AD der Gruppe WS-Admins zugefügt.
Gruss
Frankman
Ich habe leider genau das gleiche Problem.
Gibts schon eine Lösung?
Gibts schon eine Lösung?
