GPO manuelle Eingabe von lokalen Admins erlauben
Hallo zusammen,
ich hätte mal wieder eine kleine Frage. Wahrscheinlich ganz einfach aber ich komm nicht drauf.
Ich habe eine GPO erstellt "Allow Local Admin Rights" diese ist einer Security Group zugewiesen. Es soll mit allen Computern, die in dieser Gruppe sind, möglich sein, lokale Administratoren von Hand einzugeben, ohne das diese wieder raus gelöscht werden.
Ich habe in der Gruppe also unter Policies/Windows Settings/Security Settings/Restricted Groups eine Gruppe "BUILTIN\Administrators" erstellt und die Members erst mal leer gelassen. Natürlich werden dann alle Mitglieder aus der Administratoren Gruppe entfernt außer der Admin selbst.
Gibt es hier einen Member der sozusagen aussagt, dass man jeden Nutzer den man will lokal zu Administratoren Gruppe einfügen kann? Oder gibt es da eine andere Möglichkeit?
Vielen Dank schon mal im Voraus.
Schönen Gruß
mike
ich hätte mal wieder eine kleine Frage. Wahrscheinlich ganz einfach aber ich komm nicht drauf.
Ich habe eine GPO erstellt "Allow Local Admin Rights" diese ist einer Security Group zugewiesen. Es soll mit allen Computern, die in dieser Gruppe sind, möglich sein, lokale Administratoren von Hand einzugeben, ohne das diese wieder raus gelöscht werden.
Ich habe in der Gruppe also unter Policies/Windows Settings/Security Settings/Restricted Groups eine Gruppe "BUILTIN\Administrators" erstellt und die Members erst mal leer gelassen. Natürlich werden dann alle Mitglieder aus der Administratoren Gruppe entfernt außer der Admin selbst.
Gibt es hier einen Member der sozusagen aussagt, dass man jeden Nutzer den man will lokal zu Administratoren Gruppe einfügen kann? Oder gibt es da eine andere Möglichkeit?
Vielen Dank schon mal im Voraus.
Schönen Gruß
mike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297453
Url: https://administrator.de/forum/gpo-manuelle-eingabe-von-lokalen-admins-erlauben-297453.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
9 Kommentare
Neuester Kommentar
Du willst quasi allen Domänen-Benutzern lokale Adminrechte auf den Clients geben? Füge zu der Gruppe einfach die Gruppe Domain Users (oder ähnlich) hinzu.
Bedenke aber, dass du hier die Sicherheit deiner Infrastruktur gefährdest. Denn alles was der Benutzer darf, erleichtert es Viren oder Trojanern ungemein
Gruß, Andi
Bedenke aber, dass du hier die Sicherheit deiner Infrastruktur gefährdest. Denn alles was der Benutzer darf, erleichtert es Viren oder Trojanern ungemein
Gruß, Andi
Hi,
wie Du die Computer filterst, über Gruppenmitgliedschaft oder über WMI, dass ist irrelevant. Du musst es nur tun.
Aber eine 2. GPO macht nur dann sinn, wenn Du genau 2 Varianten für die Vorgabe der Mitgliedschaft der lokalen Administratoren hast und diese auf 2 Gruppen von Computern verteilen willst.
Wenn Du aber nur 1 Variante hast, dann macht auch nur eine GPO Sinn. Du musst nur dafür sorgen, dass diese GPO auf den Ausnahme-Computern nicht wirkt. Das kann man z.B. dadurch erreichen, dass man die Computer in 2 verschiedenen OU legt und die GPO nur auf eine dieser wirken lässt. Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Es kommt jetzt darauf an, was sonst noch in dieser GPO eingestellt ist. Ich empfehle auf Grund der gewollten Splittung eine dedizierte GPO für nur diese Einstellung zu verwenden.
E.
wie Du die Computer filterst, über Gruppenmitgliedschaft oder über WMI, dass ist irrelevant. Du musst es nur tun.
Aber eine 2. GPO macht nur dann sinn, wenn Du genau 2 Varianten für die Vorgabe der Mitgliedschaft der lokalen Administratoren hast und diese auf 2 Gruppen von Computern verteilen willst.
Wenn Du aber nur 1 Variante hast, dann macht auch nur eine GPO Sinn. Du musst nur dafür sorgen, dass diese GPO auf den Ausnahme-Computern nicht wirkt. Das kann man z.B. dadurch erreichen, dass man die Computer in 2 verschiedenen OU legt und die GPO nur auf eine dieser wirken lässt. Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Es kommt jetzt darauf an, was sonst noch in dieser GPO eingestellt ist. Ich empfehle auf Grund der gewollten Splittung eine dedizierte GPO für nur diese Einstellung zu verwenden.
E.