killtec
Goto Top

Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen

Hallo,
ich möchte gerne folgendes Realisieren:
Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der lokalen Administratoren-Gruppe folgenden Wert zuweisen:
DOMAIN\%ComputerName%_admins

Sprich, ich möchte eine Gruppe mit dem PC-Namen im AD erzeugen, in dem sich die lokalen Admins befinden sollen. Diese Gruppe soll dann über die GPO aufgelöst und zugewiesen werden, wenn diese existiert.

Wenn ich die hinzufügen möchte, kommt jedoch die Meldung
Folgende Konten konnten nicht überprüft werden:
DOMAIN\%ComputerName%_admins

Mein Ziel ist, dass ich bei bestimmten PC's per GPO eine Admin-Gruppe in die lokalen Admins hinzufügen möchte und in der Gruppe die jeweiligen User definieren kann. Hintergrund ist, dass manche Software diese Rechte benötigt, da die sich beim Installieren in zig Verzeichnisse schreibt, wo der User keine Rechte drauf besitzt.

Systeme sind: Windows 2016 und Windows 10

Gruß

Content-Key: 430078

Url: https://administrator.de/contentid/430078

Printed on: April 18, 2024 at 00:04 o'clock

Member: DerWoWusste
DerWoWusste Mar 18, 2019 at 10:39:55 (UTC)
Goto Top
Hi.

Mach's einfach per immediate Task oder Startskript (beides per GPO deploybar).
net localgroup administratoren /add DOMAIN\%ComputerName%_admins
Member: killtec
killtec Mar 18, 2019 at 12:18:45 (UTC)
Goto Top
Ok, und was ist dann mit der GPO? Die wird ja alle 15 Minuten ausgeführt und würde das ja wieder raus schmeißen... Das ist ja das, was ich nicht unbedingt möchte.
Member: DerWoWusste
DerWoWusste Mar 18, 2019 at 12:24:36 (UTC)
Goto Top
Warum sollte man das wieder rauschmeißen? Leere einmal die Gruppe und füge diesen Eintrag ein und gut. Alles über Skript, vergiss die restricted groups. Ohne Adminrechte kann da niemand neue hinzufügen.
Member: emeriks
emeriks Mar 18, 2019 updated at 13:46:45 (UTC)
Goto Top
Hi,
entweder so, wie DWW das vorgeschlagen hat. Allerdings wären das dann keine "eingeschränkten" Gruppen.

über eingeschränkte Gruppen
  • je Admin-Gruppe "%ComputerName%_admins" eine GPO erstellen.
  • dieser Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
  • die GPO über Sicherheitsfilterung nur auf diese Gruppe filtern
  • die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken

über GPP
  • der Admin-Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
  • eine GPO erstellen
  • in der GPO je Admin-Gruppe eine "Einstellung" erstellen für eine "lokale Gruppe"
  • dort die Admin-Gruppe als Mitglied hinzufügen lassen
  • die Einstellung per ITL auf die betreffende Admin-Gruppe einschränken (Computer ist Mitglied)
  • die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken

E.
Member: killtec
killtec Mar 18, 2019 at 14:49:42 (UTC)
Goto Top
Kann ich auch das Script mit der normalen GPO verknüpfen?
Würde die GPO mit den Restricted Groups gern bestehen lassen. Wenn ich dann neue Clients hinzufüge dann passt er das entsprechend nach der OU an. Oder ist hier der Weg wie emeriks sagte der einfachere? Dass ic hhier einfach den User nochmal separat auf den Client anwende?

Gruß
Member: emeriks
emeriks Mar 18, 2019 at 14:56:41 (UTC)
Goto Top
Zitat von @killtec:
Kann ich auch das Script mit der normalen GPO verknüpfen?
Definiere "normalen GPO".
Würde die GPO mit den Restricted Groups gern bestehen lassen.
Dann aber ohne Script. Beides zusammen geht nicht bzw. macht keinen Sinn.
Wenn ich dann neue Clients hinzufüge dann passt er das entsprechend nach der OU an.
Ich kann nicht folgen.
Oder ist hier der Weg wie emeriks sagte der einfachere? Dass ic hhier einfach den User nochmal separat auf den Client anwende?
"Den User ... auf den Client anwende ..." ?
Member: killtec
killtec Mar 18, 2019 at 15:37:17 (UTC)
Goto Top
Sorry, etwas verwirrend :D
Ich meinte oder ob ich das so machen soll / muss, dass ich zusätzlich noch eine GPO für den User / die Gruppe anlegen muss?
Ich wollte / würde gerne Wildwuchs in den GPO's vermeiden. Am liebsten in einer GPO den Wert eingetragen und dann sollte das laufen (so wäre der Wunsch)

Gruß
Member: emeriks
emeriks Mar 18, 2019 at 17:24:18 (UTC)
Goto Top
Mit den GPP ("Einstellungen") kannst Du das alles in einer GPO regeln.
Mit "eingeschränkte Gruppen" muss es je eine GPO pro Gruppe von Computern sein.
Mit dem Script würde auch eine GPO reichen.
Member: killtec
killtec Mar 19, 2019 updated at 09:09:02 (UTC)
Goto Top
Habe das jetzt mit dem immidiate-task versucht, irgendwie klappt das nicht face-sad
Habe hier mal Screenshots von der GPO der Computerconfig:
gpp_1

gpp_2

gpp_3

Wäre das so korrekt?

Nicht wundern, das Kennwort für den Benutzer Administrator wird via LAPS gesteuert, das funktioniert auch ganz gut face-smile
Member: DerWoWusste
DerWoWusste Mar 19, 2019 at 09:31:09 (UTC)
Goto Top
Bitte stelle mal das Gelb markierte ein. Im Moment ist es bei dir wie in diesem Screenshot eingestellt. Schau, ob das einen Unterschied macht.
capture
Member: killtec
killtec Mar 19, 2019 at 11:47:43 (UTC)
Goto Top
Klappt auch nicht, Ich denke der haut mir das über die Engeschränkten Gruppen raus.
Member: emeriks
emeriks Mar 19, 2019 updated at 12:06:26 (UTC)
Goto Top
Zitat von @killtec:
Klappt auch nicht, Ich denke der haut mir das über die Engeschränkten Gruppen raus.
Ich habe doch geschrieben, dass beides zusammen nicht geht. Das Script oder der Task werden immer verlieren.
Script/Task
oder
eingeschränkte Gruppen
oder
GPP "lokale Benutzer und Gruppen"
Member: killtec
killtec Mar 19, 2019 at 12:32:21 (UTC)
Goto Top
OK, sorry, dann hatte ich das nicht 100%ig verstanden face-sad
Heißt also, wenn per GPP via Eingeschränkte Gruppen, dann klappt das nicht bzw, dann muss ich pro Benutzer einen Eintrag machen, richtig?

Gruß
Member: emeriks
emeriks Mar 19, 2019 at 12:48:51 (UTC)
Goto Top
Zitat von @killtec:
Heißt also, wenn per GPP via Eingeschränkte Gruppen,
GPP oder "Eingeschränkte Gruppen"

dann klappt das nicht bzw, dann muss ich pro Benutzer einen Eintrag machen, richtig?
Wieso pro Benutzer?
Habe ich doch oben schon alles geschrieben.
Member: killtec
killtec Mar 19, 2019 at 15:04:49 (UTC)
Goto Top
Zitat von @emeriks:

Hi,
entweder so, wie DWW das vorgeschlagen hat. Allerdings wären das dann keine "eingeschränkten" Gruppen.

über eingeschränkte Gruppen
  • je Admin-Gruppe "%ComputerName%_admins" eine GPO erstellen.
  • dieser Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
  • die GPO über Sicherheitsfilterung nur auf diese Gruppe filtern
  • die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken

über GPP
  • der Admin-Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
  • eine GPO erstellen
  • in der GPO je Admin-Gruppe eine "Einstellung" erstellen für eine "lokale Gruppe"
  • dort die Admin-Gruppe als Mitglied hinzufügen lassen
  • die Einstellung per ITL auf die betreffende Admin-Gruppe einschränken (Computer ist Mitglied)
  • die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken

E.

OK, hast recht.
Ich erstelle also eine GPO in der ich entweder per GPP oder Eingeschränkte Gruppen die Einstellung fest lege, trage dort die Gruppe ein und mache die Filterung auf den entsprechenden Client.
Hab ich das dann jetzt richtig verstanden?

Gruß
Member: Backfolie
Backfolie Mar 19, 2019 at 15:07:08 (UTC)
Goto Top
Hi

Ich würde anders an die Sache ran gehen und eine GPO bauen, die dir die Programmverzeichnisse Berechtigungstechnisch so anpasst, dass der User auch Zugriff darauf hat. Das mag zwar am Anfang ein wenig Aufwand bedeuten, aber im Nachhinein brauchst du keine Benutzer pflegen.

Abhängig von der Software/Mege der Software könnte das einfacher sein.


Grüße
Member: killtec
killtec Mar 19, 2019 at 15:19:15 (UTC)
Goto Top
Zitat von @Backfolie:

Hi

Ich würde anders an die Sache ran gehen und eine GPO bauen, die dir die Programmverzeichnisse Berechtigungstechnisch so anpasst, dass der User auch Zugriff darauf hat. Das mag zwar am Anfang ein wenig Aufwand bedeuten, aber im Nachhinein brauchst du keine Benutzer pflegen.

Abhängig von der Software/Mege der Software könnte das einfacher sein.


Grüße
Hi,
funktioniert leider nicht. Ist Spezialsoftware im Baugewerbe... Vom Hersteller braucht man nichts erwarten. Schon durchgetestet.

Gruß