18
GPO - lokale Administratorengruppe
Hallo,
ich möchte per GPO die Lokale Administratorengruppe "aufräumen" / einschränken.
Es soll nur der lokale Benutzer namens Administrator hinzugefügt werden und die Gruppe Domänen-Admins. Alles andere soll raus.
Ich habe jetzt in einer GPO zwei Einträge, der eine aktiviert den lokalen Administrator, das funktioniert auch soweit.
der zweite Eintrag soll die Benutzergruppe "gerade" ziehen. Hier liegt der Fehler / das Problem.
Ich habe hier mal Screenshots von der GPO und von dem Ergebnis gemacht:
Das Ergebnis sieht dann so aus:
Wenn ich Testweise Benutzer in die lokale Gruppe mit aufnehme, werden diese auch wie gewünscht gelöscht.
OS: Windows 7 - 10; Server 2008R2 - 2016
Gruß
ich möchte per GPO die Lokale Administratorengruppe "aufräumen" / einschränken.
Es soll nur der lokale Benutzer namens Administrator hinzugefügt werden und die Gruppe Domänen-Admins. Alles andere soll raus.
Ich habe jetzt in einer GPO zwei Einträge, der eine aktiviert den lokalen Administrator, das funktioniert auch soweit.
der zweite Eintrag soll die Benutzergruppe "gerade" ziehen. Hier liegt der Fehler / das Problem.
Ich habe hier mal Screenshots von der GPO und von dem Ergebnis gemacht:
Das Ergebnis sieht dann so aus:
Wenn ich Testweise Benutzer in die lokale Gruppe mit aufnehme, werden diese auch wie gewünscht gelöscht.
OS: Windows 7 - 10; Server 2008R2 - 2016
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 360716
Url: https://administrator.de/forum/gpo-lokale-administratorengruppe-360716.html
Ausgedruckt am: 04.04.2025 um 18:04 Uhr
18 Kommentare
Neuester Kommentar
Teste mit einer anderen Gruppe und schreibe auch den Domänennamen mal hin ohne Variable, falls möglich.
HI @DerWoWusste,
ich habe das auch schon so getestet, dass ich Domänenname\Domänen-Admins hinzugefügt habe, auch dass er die SID rein geschireben hat, mit den selben Ergebnis.
Mit einer anderen Gruppe müsste ich das nochmal testen.
Gruß
ich habe das auch schon so getestet, dass ich Domänenname\Domänen-Admins hinzugefügt habe, auch dass er die SID rein geschireben hat, mit den selben Ergebnis.
Mit einer anderen Gruppe müsste ich das nochmal testen.
Gruß
Hi,
wenn man die Mitgliedschaft einer Gruppe komplette vorgeben will dann ist die Richtilinie "eingeschränkte Gruppen" die viel bessere Wahl. Auch sicherer.
Die GPP für lokale Gruppen und Benutzer eignet sich eher für die Erstellung neue Gruppen/Benutzer oder Bearbeitung derer.
E.
wenn man die Mitgliedschaft einer Gruppe komplette vorgeben will dann ist die Richtilinie "eingeschränkte Gruppen" die viel bessere Wahl. Auch sicherer.
Die GPP für lokale Gruppen und Benutzer eignet sich eher für die Erstellung neue Gruppen/Benutzer oder Bearbeitung derer.
E.
1
Aha? Und warum besser/sicherer? Das sollte das selbe sein.
Aha? Und warum besser/sicherer? Das sollte das selbe sein.
Mit "sicherer" meine ich hier "zuverlässiger". Die GPP sind Erweiterungen (Client Side Extensions) bei denen immer mal was schief gehen kann und geht.Weiterhin muss man aufpassen, da diese GPP kummulativ ist. Das kann auch Vorteil sein, je nachdem wie mans braucht.
Bsp. 1
Habe 2 GPO's mit GPP "lokale Benutzer und Gruppen"
eine "oben" an der Domäne verlinkt
die andere "unten" an der OU
Vererbung nicht unterbrochen
beide fügen je einen anderen Benutzer derselben Gruppe hinzu
wenn ich die "obere" GPO erzwinge, weil ich will, dass diese Gruppe genauso ausehen soll, dann wird die "untere" trotzdem noch ausgeführt
Bsp. 2
Habe 2 GPO's mit Richtlinie "eingeschränkte Gruppen"
eine "oben" an der Domäne verlinkt
die andere "unten" an der OU
Vererbung nicht unterbrochen
beide sehen je einen anderen Benutzer in derselben Gruppe als Mitglied vor
wenn ich die "obere" GPO erzwinge, weil ich will, dass diese Gruppe genauso ausehen soll, dann kann die "untere" GPO daran nichts mehr übersteuern
Aber wie gesagt, wie mans braucht.
Das ist das Selbe von der Funktionalität. Das Erzwingen interpretierst Du falsch - erzwingen ist nur zum durchbrechen von "block inheritance" da.
Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten. Da MS diese pusht, werden sie besser getestet als die Equivalente unter den GPOs - da wäre ich mir sogar sicher.
Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten. Da MS diese pusht, werden sie besser getestet als die Equivalente unter den GPOs - da wäre ich mir sogar sicher.
Das ist das Selbe von der Funktionalität.
Nein, definitiv nicht!Das Erzwingen interpretierst Du falsch
Ganz sicher auch nicht. Das fresse ich jeden Tag mit großem Löffel. 
- erzwingen ist nur zum durchbrechen von "block inheritance" da.
Nicht nur dafür. Auch zum Verhindern des Übersteuerns höher priorisierter GPO. Nicht umsonst heißt das im ursprünglichen Original "no override", bzw. im Deutschen "kein Vorrang".Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten.
Ich sage nur Shortcuts erstellen, Drucker verbinden, Passwörter lokaler Benutzer. Letzteres musste komplette raus genommen werden, wenn auch aus anderen Gründen.
@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
Hi,
nein, die sind nicht weg retuschiert.
Ich habe die GP anhand dieses Links erstellt und wundere mich halt nur, warum er nicht das so macht, wie ich es erwarte / gern hätte.
https://blog.proact.de/2014/08/11/lokale-administratorenrechte-per-grupp ...
Selbst wenn ich, wie aktuell, die "Domänen-Admins" mit SID drin stehen habe, passiert da leider nichts.
nein, die sind nicht weg retuschiert.
Ich habe die GP anhand dieses Links erstellt und wundere mich halt nur, warum er nicht das so macht, wie ich es erwarte / gern hätte.
https://blog.proact.de/2014/08/11/lokale-administratorenrechte-per-grupp ...
Selbst wenn ich, wie aktuell, die "Domänen-Admins" mit SID drin stehen habe, passiert da leider nichts.
Zitat von @DerWoWusste:
@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
Das ist auch solch ein "Feature". Wenn man die GPO wieder öffnet, dann zeigt er die SID nicht mehr an. Ich habe das eben reproduziert.@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
In der XML ist die SID auch nicht mehr enthalten. lol
Bei mir verhält es sich gesund - keine verschwindenden SIDs.
Bei mir verhält es sich gesund - keine verschwindenden SIDs.
Das glaube ich Dir sogar voll und ganz. Aber Du kannst jetzt sicher auch nachvollziehen, warum ich von "unzuverlässig" spreche.
Nein. Wir haben ja nichts wirklich verglichen, bislang. Und da ich GPPs seit ca. 15 Jahren intensiv einsetze (oder wie lang gibt es das Produkt der Firma schon, die MS dann aufgekauft hat?), kann ich mit Sicherheit sagen, ich kenn mich da ein wenig aus.
So, als kleine Rückmeldung,
unter der Gruppe Hauptbenutzer packt er die Admin Gruppe rein, bei der Gruppe Administratoren nicht.
Hab auch mal eingestellt, dass die Richtlinie erzwungen ist. Auch ohne Wirkung...
Gruß
unter der Gruppe Hauptbenutzer packt er die Admin Gruppe rein, bei der Gruppe Administratoren nicht.
Hab auch mal eingestellt, dass die Richtlinie erzwungen ist. Auch ohne Wirkung...
Gruß
Habe hier englische Systeme (Server+Client Server 2016 1607, Win10 1703/1709).
Ein interessantes Detail vielleicht. Er wendet da schon was an, er setzt Beispielsweise den Kommentar den ich test weise gesetzt habe korrekt.
Er fügt halt nur außer dem lokalem Administrator nichts weiter hinzu. Weder meinen Benutzer, noch die Admin-Gruppe.
Er fügt halt nur außer dem lokalem Administrator nichts weiter hinzu. Weder meinen Benutzer, noch die Admin-Gruppe.
Nun, nimm dir ein Testsystem (Spieldomäne) und mach es dort. Oder aber nimm restricted groups, wie empfohlen von emeriks.
Hi @DerWoWusste,
ich habe jetzt die Kombination drin. Einmal restricted groups und die lokalen Benutzer + Gruppen. Jetzt macht er es.
Danke an euch
ich habe jetzt die Kombination drin. Einmal restricted groups und die lokalen Benutzer + Gruppen. Jetzt macht er es.
Danke an euch
