17
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Hallo,
ich möchte gerne folgendes Realisieren:
Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der lokalen Administratoren-Gruppe folgenden Wert zuweisen:
Sprich, ich möchte eine Gruppe mit dem PC-Namen im AD erzeugen, in dem sich die lokalen Admins befinden sollen. Diese Gruppe soll dann über die GPO aufgelöst und zugewiesen werden, wenn diese existiert.
Wenn ich die hinzufügen möchte, kommt jedoch die Meldung
Mein Ziel ist, dass ich bei bestimmten PC's per GPO eine Admin-Gruppe in die lokalen Admins hinzufügen möchte und in der Gruppe die jeweiligen User definieren kann. Hintergrund ist, dass manche Software diese Rechte benötigt, da die sich beim Installieren in zig Verzeichnisse schreibt, wo der User keine Rechte drauf besitzt.
Systeme sind: Windows 2016 und Windows 10
Gruß
ich möchte gerne folgendes Realisieren:
Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der lokalen Administratoren-Gruppe folgenden Wert zuweisen:
DOMAIN\%ComputerName%_adminsSprich, ich möchte eine Gruppe mit dem PC-Namen im AD erzeugen, in dem sich die lokalen Admins befinden sollen. Diese Gruppe soll dann über die GPO aufgelöst und zugewiesen werden, wenn diese existiert.
Wenn ich die hinzufügen möchte, kommt jedoch die Meldung
Folgende Konten konnten nicht überprüft werden:
DOMAIN\%ComputerName%_adminsMein Ziel ist, dass ich bei bestimmten PC's per GPO eine Admin-Gruppe in die lokalen Admins hinzufügen möchte und in der Gruppe die jeweiligen User definieren kann. Hintergrund ist, dass manche Software diese Rechte benötigt, da die sich beim Installieren in zig Verzeichnisse schreibt, wo der User keine Rechte drauf besitzt.
Systeme sind: Windows 2016 und Windows 10
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 430078
Url: https://administrator.de/contentid/430078
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
Hi.
Mach's einfach per immediate Task oder Startskript (beides per GPO deploybar).
Mach's einfach per immediate Task oder Startskript (beides per GPO deploybar).
net localgroup administratoren /add DOMAIN\%ComputerName%_admins
Ok, und was ist dann mit der GPO? Die wird ja alle 15 Minuten ausgeführt und würde das ja wieder raus schmeißen... Das ist ja das, was ich nicht unbedingt möchte.
Warum sollte man das wieder rauschmeißen? Leere einmal die Gruppe und füge diesen Eintrag ein und gut. Alles über Skript, vergiss die restricted groups. Ohne Adminrechte kann da niemand neue hinzufügen.
Hi,
entweder so, wie DWW das vorgeschlagen hat. Allerdings wären das dann keine "eingeschränkten" Gruppen.
über eingeschränkte Gruppen
über GPP
E.
entweder so, wie DWW das vorgeschlagen hat. Allerdings wären das dann keine "eingeschränkten" Gruppen.
über eingeschränkte Gruppen
- je Admin-Gruppe "%ComputerName%_admins" eine GPO erstellen.
- dieser Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
- die GPO über Sicherheitsfilterung nur auf diese Gruppe filtern
- die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken
über GPP
- der Admin-Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
- eine GPO erstellen
- in der GPO je Admin-Gruppe eine "Einstellung" erstellen für eine "lokale Gruppe"
- dort die Admin-Gruppe als Mitglied hinzufügen lassen
- die Einstellung per ITL auf die betreffende Admin-Gruppe einschränken (Computer ist Mitglied)
- die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken
E.
Kann ich auch das Script mit der normalen GPO verknüpfen?
Würde die GPO mit den Restricted Groups gern bestehen lassen. Wenn ich dann neue Clients hinzufüge dann passt er das entsprechend nach der OU an. Oder ist hier der Weg wie emeriks sagte der einfachere? Dass ic hhier einfach den User nochmal separat auf den Client anwende?
Gruß
Würde die GPO mit den Restricted Groups gern bestehen lassen. Wenn ich dann neue Clients hinzufüge dann passt er das entsprechend nach der OU an. Oder ist hier der Weg wie emeriks sagte der einfachere? Dass ic hhier einfach den User nochmal separat auf den Client anwende?
Gruß
Definiere "normalen GPO".
Würde die GPO mit den Restricted Groups gern bestehen lassen.
Dann aber ohne Script. Beides zusammen geht nicht bzw. macht keinen Sinn.Wenn ich dann neue Clients hinzufüge dann passt er das entsprechend nach der OU an.
Ich kann nicht folgen.Oder ist hier der Weg wie emeriks sagte der einfachere? Dass ic hhier einfach den User nochmal separat auf den Client anwende?
"Den User ... auf den Client anwende ..." ?
Sorry, etwas verwirrend :D
Ich meinte oder ob ich das so machen soll / muss, dass ich zusätzlich noch eine GPO für den User / die Gruppe anlegen muss?
Ich wollte / würde gerne Wildwuchs in den GPO's vermeiden. Am liebsten in einer GPO den Wert eingetragen und dann sollte das laufen (so wäre der Wunsch)
Gruß
Ich meinte oder ob ich das so machen soll / muss, dass ich zusätzlich noch eine GPO für den User / die Gruppe anlegen muss?
Ich wollte / würde gerne Wildwuchs in den GPO's vermeiden. Am liebsten in einer GPO den Wert eingetragen und dann sollte das laufen (so wäre der Wunsch)
Gruß
Mit den GPP ("Einstellungen") kannst Du das alles in einer GPO regeln.
Mit "eingeschränkte Gruppen" muss es je eine GPO pro Gruppe von Computern sein.
Mit dem Script würde auch eine GPO reichen.
Mit "eingeschränkte Gruppen" muss es je eine GPO pro Gruppe von Computern sein.
Mit dem Script würde auch eine GPO reichen.
Habe das jetzt mit dem immidiate-task versucht, irgendwie klappt das nicht 
Habe hier mal Screenshots von der GPO der Computerconfig:
Wäre das so korrekt?
Nicht wundern, das Kennwort für den Benutzer Administrator wird via LAPS gesteuert, das funktioniert auch ganz gut
Habe hier mal Screenshots von der GPO der Computerconfig:
Wäre das so korrekt?
Nicht wundern, das Kennwort für den Benutzer Administrator wird via LAPS gesteuert, das funktioniert auch ganz gut
Bitte stelle mal das Gelb markierte ein. Im Moment ist es bei dir wie in diesem Screenshot eingestellt. Schau, ob das einen Unterschied macht.
Klappt auch nicht, Ich denke der haut mir das über die Engeschränkten Gruppen raus.
Zitat von @killtec:
Klappt auch nicht, Ich denke der haut mir das über die Engeschränkten Gruppen raus.
Ich habe doch geschrieben, dass beides zusammen nicht geht. Das Script oder der Task werden immer verlieren.Klappt auch nicht, Ich denke der haut mir das über die Engeschränkten Gruppen raus.
Script/Task
oder
eingeschränkte Gruppen
oder
GPP "lokale Benutzer und Gruppen"
OK, sorry, dann hatte ich das nicht 100%ig verstanden
Heißt also, wenn per GPP via Eingeschränkte Gruppen, dann klappt das nicht bzw, dann muss ich pro Benutzer einen Eintrag machen, richtig?
Gruß
Heißt also, wenn per GPP via Eingeschränkte Gruppen, dann klappt das nicht bzw, dann muss ich pro Benutzer einen Eintrag machen, richtig?
Gruß
GPP oder "Eingeschränkte Gruppen"
Habe ich doch oben schon alles geschrieben.
dann klappt das nicht bzw, dann muss ich pro Benutzer einen Eintrag machen, richtig?
Wieso pro Benutzer?Habe ich doch oben schon alles geschrieben.
Zitat von @emeriks:
Hi,
entweder so, wie DWW das vorgeschlagen hat. Allerdings wären das dann keine "eingeschränkten" Gruppen.
über eingeschränkte Gruppen
über GPP
E.
Hi,
entweder so, wie DWW das vorgeschlagen hat. Allerdings wären das dann keine "eingeschränkten" Gruppen.
über eingeschränkte Gruppen
- je Admin-Gruppe "%ComputerName%_admins" eine GPO erstellen.
- dieser Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
- die GPO über Sicherheitsfilterung nur auf diese Gruppe filtern
- die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken
über GPP
- der Admin-Gruppe neben den Admins auch die betreffenden Computer als Mitglied eintragen
- eine GPO erstellen
- in der GPO je Admin-Gruppe eine "Einstellung" erstellen für eine "lokale Gruppe"
- dort die Admin-Gruppe als Mitglied hinzufügen lassen
- die Einstellung per ITL auf die betreffende Admin-Gruppe einschränken (Computer ist Mitglied)
- die GPO mit dem Domänen-Container oder der OU mit den Computer-Objekten verlinken
E.
OK, hast recht.
Ich erstelle also eine GPO in der ich entweder per GPP oder Eingeschränkte Gruppen die Einstellung fest lege, trage dort die Gruppe ein und mache die Filterung auf den entsprechenden Client.
Hab ich das dann jetzt richtig verstanden?
Gruß
Hi
Ich würde anders an die Sache ran gehen und eine GPO bauen, die dir die Programmverzeichnisse Berechtigungstechnisch so anpasst, dass der User auch Zugriff darauf hat. Das mag zwar am Anfang ein wenig Aufwand bedeuten, aber im Nachhinein brauchst du keine Benutzer pflegen.
Abhängig von der Software/Mege der Software könnte das einfacher sein.
Grüße
Ich würde anders an die Sache ran gehen und eine GPO bauen, die dir die Programmverzeichnisse Berechtigungstechnisch so anpasst, dass der User auch Zugriff darauf hat. Das mag zwar am Anfang ein wenig Aufwand bedeuten, aber im Nachhinein brauchst du keine Benutzer pflegen.
Abhängig von der Software/Mege der Software könnte das einfacher sein.
Grüße
Zitat von @Backfolie:
Hi
Ich würde anders an die Sache ran gehen und eine GPO bauen, die dir die Programmverzeichnisse Berechtigungstechnisch so anpasst, dass der User auch Zugriff darauf hat. Das mag zwar am Anfang ein wenig Aufwand bedeuten, aber im Nachhinein brauchst du keine Benutzer pflegen.
Abhängig von der Software/Mege der Software könnte das einfacher sein.
Grüße
Hi,Hi
Ich würde anders an die Sache ran gehen und eine GPO bauen, die dir die Programmverzeichnisse Berechtigungstechnisch so anpasst, dass der User auch Zugriff darauf hat. Das mag zwar am Anfang ein wenig Aufwand bedeuten, aber im Nachhinein brauchst du keine Benutzer pflegen.
Abhängig von der Software/Mege der Software könnte das einfacher sein.
Grüße
funktioniert leider nicht. Ist Spezialsoftware im Baugewerbe... Vom Hersteller braucht man nichts erwarten. Schon durchgetestet.
Gruß
