6
GPO - Lokale AD User umstellen von Admin auf Std. User
Hallo,
kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?
Ich will nicht 80 PCs durchgehen und es gibt definitiv manche PCs die so eingestellt sind.
Gruß silent-daniel
kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?
Ich will nicht 80 PCs durchgehen und es gibt definitiv manche PCs die so eingestellt sind.
Gruß silent-daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5405891244
Url: https://administrator.de/contentid/5405891244
Printed on: April 28, 2024 at 08:04 o'clock
6 Comments
Latest comment
Moin,
pauschal nein, denn es kann immer nur einen Standard-User geben aber mehrere AD-Accounts mit lokalen Adminrechten. Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein Sicherheitsrisiko.
Gruß
Doskias
pauschal nein, denn es kann immer nur einen Standard-User geben aber mehrere AD-Accounts mit lokalen Adminrechten. Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein Sicherheitsrisiko.
Gruß
Doskias
Zitat von @silent-daniel:
Hallo,
kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?
Ja, überschreibe die Gruppe der lokalen Admins per Restricted Groups GPO...Hallo,
kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?
https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members ...
Oder alternativ per GPP wenn man es feiner einstellen will.
https://petri.com/manage-local-active-directory-groups-using-group-polic ...
Dann fliegen die User von selbst aus der Administratoren Gruppe.
1
Moin,
das hatten wir doch so ähnlich gerade erst vor ein paar Tagen. Mit der Powershell ist das ein Einzeiler:
Das wird dann in ein Start-Skript eingebunden und gut ist. Statt "$env:computername\admin" kannst Du natürlich jeden anderen Namen nehmen und/oder mit -or weitere Filter einbinden.
hth
Erik
das hatten wir doch so ähnlich gerade erst vor ein paar Tagen. Mit der Powershell ist das ein Einzeiler:
Get-LocalGroupMember -Group Administratoren | ?{$_.ObjectClass -eq "Benutzer"} | ?{$_.Name -ne "$env:computername\admin"} | %{Remove-LocalGroupMember -Member $_.Name -Group Administratoren} Das wird dann in ein Start-Skript eingebunden und gut ist. Statt "$env:computername\admin" kannst Du natürlich jeden anderen Namen nehmen und/oder mit -or weitere Filter einbinden.
hth
Erik
Zitat von @Doskias:
Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein > > Sicherheitsrisiko.
Gruß
Doskias
Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein > > Sicherheitsrisiko.
Gruß
Doskias
Natürlich soll das nicht sein, darum will ich das bei einer neuen Kundschaft auch SOFORT ausschließen, aber ich will nicht jeden PC abklappern.
Zitat von @erikro
das hatten wir doch so ähnlich gerade erst vor ein paar Tagen. Mit der Powershell ist das ein Einzeiler:
Das wird dann in ein Start-Skript eingebunden und gut ist. Statt "$env:computername\admin" kannst Du natürlich jeden anderen Namen nehmen und/oder mit -or weitere Filter einbinden.
das hatten wir doch so ähnlich gerade erst vor ein paar Tagen. Mit der Powershell ist das ein Einzeiler:
Get-LocalGroupMember -Group Administratoren | ?{$_.ObjectClass -eq "Benutzer"} | ?{$_.Name -ne "$env:computername\admin"} | %{Remove-LocalGroupMember -Member $_.Name -Group Administratoren} Okay ist das Sript hilft mir weiter, ich werde mir die Optionen mal ansehen.
Zitat von @silent-daniel:
Natürlich soll das nicht sein, darum will ich das bei einer neuen Kundschaft auch SOFORT ausschließen, aber ich will nicht jeden PC abklappern.
Zitat von @Doskias:
Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein > > Sicherheitsrisiko.
Gruß
Doskias
Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein > > Sicherheitsrisiko.
Gruß
Doskias
Natürlich soll das nicht sein, darum will ich das bei einer neuen Kundschaft auch SOFORT ausschließen, aber ich will nicht jeden PC abklappern.
Verstehe ich, aber wieso dann:
kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?
Lösch doch bei der Anmeldung per Skript über das Systemkonto einfach alle Domänen-Benutzer und Domänen-Gruppen aus der Gruppe der lokalen Admins. Wieso der Umweg über Standard-Benutzer?
Du hast recht, warum einfach wenn es kompliziert auch geht. Danke!
Gruß sd
Gruß sd
