silent-daniel
16.01.2023
view1448
view6
0
Goto Top

GPO - Lokale AD User umstellen von Admin auf Std. User

gelöstFrageWindows Server
Hallo,

kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?

Ich will nicht 80 PCs durchgehen und es gibt definitiv manche PCs die so eingestellt sind.

Gruß silent-daniel
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 5405891244

Url: https://administrator.de/forum/gpo-lokale-ad-user-umstellen-von-admin-auf-std-user-5405891244.html

Ausgedruckt am: 21.12.2024 um 15:12 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
Doskias
Doskias 16.01.2023 um 14:23:41 Uhr
Goto Top
Moin,

pauschal nein, denn es kann immer nur einen Standard-User geben aber mehrere AD-Accounts mit lokalen Adminrechten. Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein Sicherheitsrisiko.

Gruß
Doskias
5175293307
Lösung 5175293307 16.01.2023 aktualisiert um 14:36:32 Uhr
Goto Top
Zitat von @silent-daniel:

Hallo,

kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?
Ja, überschreibe die Gruppe der lokalen Admins per Restricted Groups GPO...
https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members ...
Oder alternativ per GPP wenn man es feiner einstellen will.
https://petri.com/manage-local-active-directory-groups-using-group-polic ...
Dann fliegen die User von selbst aus der Administratoren Gruppe.
heart1
erikro
erikro 16.01.2023 um 16:38:56 Uhr
Goto Top
Moin,

das hatten wir doch so ähnlich gerade erst vor ein paar Tagen. Mit der Powershell ist das ein Einzeiler:

Get-LocalGroupMember -Group Administratoren | ?{$_.ObjectClass -eq "Benutzer"} | ?{$_.Name -ne "$env:computername\admin"} | %{Remove-LocalGroupMember -Member $_.Name -Group Administratoren}

Das wird dann in ein Start-Skript eingebunden und gut ist. Statt "$env:computername\admin" kannst Du natürlich jeden anderen Namen nehmen und/oder mit -or weitere Filter einbinden.

hth

Erik
silent-daniel
silent-daniel 16.01.2023 aktualisiert um 18:57:00 Uhr
Goto Top
Zitat von @Doskias:
Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein > > Sicherheitsrisiko.
Gruß
Doskias

Natürlich soll das nicht sein, darum will ich das bei einer neuen Kundschaft auch SOFORT ausschließen, aber ich will nicht jeden PC abklappern.


Zitat von @erikro
das hatten wir doch so ähnlich gerade erst vor ein paar Tagen. Mit der Powershell ist das ein Einzeiler:
Get-LocalGroupMember -Group Administratoren | ?{$_.ObjectClass -eq "Benutzer"} | ?{$_.Name -ne "$env:computername\admin"} | %{Remove-LocalGroupMember -Member $_.Name -Group Administratoren}
Das wird dann in ein Start-Skript eingebunden und gut ist. Statt "$env:computername\admin" kannst Du natürlich jeden anderen Namen nehmen und/oder mit -or weitere Filter einbinden.

Okay ist das Sript hilft mir weiter, ich werde mir die Optionen mal ansehen.
Doskias
Lösung Doskias 18.01.2023 um 10:46:21 Uhr
Goto Top
Zitat von @silent-daniel:

Zitat von @Doskias:
Die Hauptfrage ist allerdings: Wieso gibt es lokale Admin-Rechte für AD-Benutzer? Das ist in meinen Augen ein > > Sicherheitsrisiko.
Gruß
Doskias

Natürlich soll das nicht sein, darum will ich das bei einer neuen Kundschaft auch SOFORT ausschließen, aber ich will nicht jeden PC abklappern.

Verstehe ich, aber wieso dann:
kann ich per GPO einstellen, dass wenn ein AD User auf einem PC als Lokaler Admin eingestellt ist, dass der dann Standard User ist?

Lösch doch bei der Anmeldung per Skript über das Systemkonto einfach alle Domänen-Benutzer und Domänen-Gruppen aus der Gruppe der lokalen Admins. Wieso der Umweg über Standard-Benutzer?
silent-daniel
silent-daniel 20.01.2023 um 02:19:16 Uhr
Goto Top
Du hast recht, warum einfach wenn es kompliziert auch geht. Danke!

Gruß sd
gelöstFrageWindows Server
Mehr von silent-danielsilent-danielExcel Blätter zusammenführen über Kundennummersilent-daniel - 4 Kommentaresilent-danielPower Automate Desktop - Email Anlagen exportierensilent-daniel - 6 Kommentaresilent-danielWindows NTFS Berechtigungen auf 80+ Ordner kopierensilent-daniel - 1 Kommentarsilent-danielNeue Active Directory Domain, welcher Name?silent-daniel - 9 Kommentare
Heiß diskutiert
itzwich1Aktuelle NAS Empfehlungitzwich1 - 57 KommentareKamelleCa. 600.000 Archive in komplexer Ordnerstruktur entpackenKamelle - 47 Kommentarem.sterZwei lokale Mailserver - Lösungsweg gesuchtm.ster - 30 KommentareMicitiEmpfehlung Hardware für Heim-NetzwerkMiciti - 22 Kommentareukulele-7Keine DNS-Auflösung auf bestimmte Domainukulele-7 - 22 KommentareJudgelgSharepoint Teams Kalender erstellenJudgelg - 21 KommentareMysticFoxDEIntel feuert Pat - Halleluja!MysticFoxDE - 19 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 17 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 KommentareBN2023Excel - Problem mit WENN-DANN Formel für eine VertretungsregelBN2023 - 15 KommentareVisuciusDevolutions Remote Desktop Manager - bin begeistert!Visucius - 15 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 Kommentare