9
GPO manuelle Eingabe von lokalen Admins erlauben
Hallo zusammen,
ich hätte mal wieder eine kleine Frage. Wahrscheinlich ganz einfach aber ich komm nicht drauf.
Ich habe eine GPO erstellt "Allow Local Admin Rights" diese ist einer Security Group zugewiesen. Es soll mit allen Computern, die in dieser Gruppe sind, möglich sein, lokale Administratoren von Hand einzugeben, ohne das diese wieder raus gelöscht werden.
Ich habe in der Gruppe also unter Policies/Windows Settings/Security Settings/Restricted Groups eine Gruppe "BUILTIN\Administrators" erstellt und die Members erst mal leer gelassen. Natürlich werden dann alle Mitglieder aus der Administratoren Gruppe entfernt außer der Admin selbst.
Gibt es hier einen Member der sozusagen aussagt, dass man jeden Nutzer den man will lokal zu Administratoren Gruppe einfügen kann? Oder gibt es da eine andere Möglichkeit?
Vielen Dank schon mal im Voraus.
Schönen Gruß
mike
ich hätte mal wieder eine kleine Frage. Wahrscheinlich ganz einfach aber ich komm nicht drauf.
Ich habe eine GPO erstellt "Allow Local Admin Rights" diese ist einer Security Group zugewiesen. Es soll mit allen Computern, die in dieser Gruppe sind, möglich sein, lokale Administratoren von Hand einzugeben, ohne das diese wieder raus gelöscht werden.
Ich habe in der Gruppe also unter Policies/Windows Settings/Security Settings/Restricted Groups eine Gruppe "BUILTIN\Administrators" erstellt und die Members erst mal leer gelassen. Natürlich werden dann alle Mitglieder aus der Administratoren Gruppe entfernt außer der Admin selbst.
Gibt es hier einen Member der sozusagen aussagt, dass man jeden Nutzer den man will lokal zu Administratoren Gruppe einfügen kann? Oder gibt es da eine andere Möglichkeit?
Vielen Dank schon mal im Voraus.
Schönen Gruß
mike
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297453
Url: https://administrator.de/contentid/297453
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Du willst quasi allen Domänen-Benutzern lokale Adminrechte auf den Clients geben? Füge zu der Gruppe einfach die Gruppe Domain Users (oder ähnlich) hinzu.
Bedenke aber, dass du hier die Sicherheit deiner Infrastruktur gefährdest. Denn alles was der Benutzer darf, erleichtert es Viren oder Trojanern ungemein
Gruß, Andi
Bedenke aber, dass du hier die Sicherheit deiner Infrastruktur gefährdest. Denn alles was der Benutzer darf, erleichtert es Viren oder Trojanern ungemein
Gruß, Andi
Hallo andiii,
dankeschön für deine Hilfe.
So eine Gruppe habe ich schon und diese funktioniert auch wunderbar. Ich möchte nur, dass ich bei Computern, die in dieser "Allow Local Admin Rights" Gruppe sind, selbst direkt an dem jeweiligen Computer manuell eingeben kann, wer in der "Administratoren" Gruppe sein soll und wer nicht, ohne das diese immer wieder raus gelöscht werden.
Schönen Gruß
mike
dankeschön für deine Hilfe.
So eine Gruppe habe ich schon und diese funktioniert auch wunderbar. Ich möchte nur, dass ich bei Computern, die in dieser "Allow Local Admin Rights" Gruppe sind, selbst direkt an dem jeweiligen Computer manuell eingeben kann, wer in der "Administratoren" Gruppe sein soll und wer nicht, ohne das diese immer wieder raus gelöscht werden.
Schönen Gruß
mike
Hi,
das geht so nicht. Der einzige Weg, das zu realisieren, ist, dafür zu sorgen, dass keine GPO für solche Computer wirkt, welche die Administratoren über "Restricted Groups" vorgibt.
E.
das geht so nicht. Der einzige Weg, das zu realisieren, ist, dafür zu sorgen, dass keine GPO für solche Computer wirkt, welche die Administratoren über "Restricted Groups" vorgibt.
E.
Ich versteh das so :
Computer A
Computer B
Computer C
sind alle in einer bestimmten OU.
Alle User auf den Rechner bekommen auf die Clients lokale Adminrechte, bzw. sollen auf diesen Rechnern lokale Adminrechte bekommen ?
Computer A
Computer B
Computer C
sind alle in einer bestimmten OU.
Alle User auf den Rechner bekommen auf die Clients lokale Adminrechte, bzw. sollen auf diesen Rechnern lokale Adminrechte bekommen ?
Nein. Er hat offensichtlich eine GPO, welche für alle Computer die lokalen Admins vorgibt. Jetzt will er offenbar, dass für ein paar Ausnahme-Computer diese Vorgabe nicht gilt, dass er dort manuell die Mitgliedschaft ändern kann, ohne dass diese GPO das hinterher wiederrückgängig macht.
Hallo zusammen,
danke Leute für eure Hilfe.
Ja genau emeriks. Also bräuchte ich 2 Gruppen die "Allow Local Admin Rights" und eine "Not Allow Local Admin Rights" z.B.. Alle "normalen Computer in die "Not Allow Local Admin Rights" und die vereinzelten für die die vorgaben nicht gelten in die "Allow Local Admin Rights, und die GPO's dann den jeweiligen Gruppen zugeordnet? Oder gibts noch eine andere Möglichkeit?
Schönen Gruß
mike
EDIT: Kann man da evtl. auch mit einem WMI Filter arbeiten?
danke Leute für eure Hilfe.
Ja genau emeriks. Also bräuchte ich 2 Gruppen die "Allow Local Admin Rights" und eine "Not Allow Local Admin Rights" z.B.. Alle "normalen Computer in die "Not Allow Local Admin Rights" und die vereinzelten für die die vorgaben nicht gelten in die "Allow Local Admin Rights, und die GPO's dann den jeweiligen Gruppen zugeordnet? Oder gibts noch eine andere Möglichkeit?
Schönen Gruß
mike
EDIT: Kann man da evtl. auch mit einem WMI Filter arbeiten?
Hi,
wie Du die Computer filterst, über Gruppenmitgliedschaft oder über WMI, dass ist irrelevant. Du musst es nur tun.
Aber eine 2. GPO macht nur dann sinn, wenn Du genau 2 Varianten für die Vorgabe der Mitgliedschaft der lokalen Administratoren hast und diese auf 2 Gruppen von Computern verteilen willst.
Wenn Du aber nur 1 Variante hast, dann macht auch nur eine GPO Sinn. Du musst nur dafür sorgen, dass diese GPO auf den Ausnahme-Computern nicht wirkt. Das kann man z.B. dadurch erreichen, dass man die Computer in 2 verschiedenen OU legt und die GPO nur auf eine dieser wirken lässt. Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Es kommt jetzt darauf an, was sonst noch in dieser GPO eingestellt ist. Ich empfehle auf Grund der gewollten Splittung eine dedizierte GPO für nur diese Einstellung zu verwenden.
E.
wie Du die Computer filterst, über Gruppenmitgliedschaft oder über WMI, dass ist irrelevant. Du musst es nur tun.
Aber eine 2. GPO macht nur dann sinn, wenn Du genau 2 Varianten für die Vorgabe der Mitgliedschaft der lokalen Administratoren hast und diese auf 2 Gruppen von Computern verteilen willst.
Wenn Du aber nur 1 Variante hast, dann macht auch nur eine GPO Sinn. Du musst nur dafür sorgen, dass diese GPO auf den Ausnahme-Computern nicht wirkt. Das kann man z.B. dadurch erreichen, dass man die Computer in 2 verschiedenen OU legt und die GPO nur auf eine dieser wirken lässt. Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Es kommt jetzt darauf an, was sonst noch in dieser GPO eingestellt ist. Ich empfehle auf Grund der gewollten Splittung eine dedizierte GPO für nur diese Einstellung zu verwenden.
E.
1Zitat von @emeriks:
Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Perfekt, dankeschön, die Gruppe hatte ich schon und hab einfach wie du gesagt hast die "Richtlinie übernehmen verweigert... Scheint so auch wunderbar zu funktionieren, und die extra GPO brauch ich auch nicht
Werd jetzt mal noch ein paar Computer dazu nehmen und Testen.
Schönen Gruß
mike
Ja, das geht, einfach in der zweiten GPO eine Gruppe "Lokal Admin" anlegen lassen, welche auf den entsprechenden clients Mitglied der Gruppe "Administratoren" wird. Dadurch kannst du lokal alle Benutzer zur Gruppe "Lokal Admin" hinzufügen, ohne dass dir dir Gruppe gelöscht wird.
