mk139
Goto Top

GPO manuelle Eingabe von lokalen Admins erlauben

Hallo zusammen,

ich hätte mal wieder eine kleine Frage. Wahrscheinlich ganz einfach aber ich komm nicht drauf.

Ich habe eine GPO erstellt "Allow Local Admin Rights" diese ist einer Security Group zugewiesen. Es soll mit allen Computern, die in dieser Gruppe sind, möglich sein, lokale Administratoren von Hand einzugeben, ohne das diese wieder raus gelöscht werden.

Ich habe in der Gruppe also unter Policies/Windows Settings/Security Settings/Restricted Groups eine Gruppe "BUILTIN\Administrators" erstellt und die Members erst mal leer gelassen. Natürlich werden dann alle Mitglieder aus der Administratoren Gruppe entfernt außer der Admin selbst.

Gibt es hier einen Member der sozusagen aussagt, dass man jeden Nutzer den man will lokal zu Administratoren Gruppe einfügen kann? Oder gibt es da eine andere Möglichkeit?

Vielen Dank schon mal im Voraus.

Schönen Gruß

mike

Content-ID: 297453

Url: https://administrator.de/forum/gpo-manuelle-eingabe-von-lokalen-admins-erlauben-297453.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

andiii
andiii 26.02.2016 aktualisiert um 08:45:29 Uhr
Goto Top
Du willst quasi allen Domänen-Benutzern lokale Adminrechte auf den Clients geben? Füge zu der Gruppe einfach die Gruppe Domain Users (oder ähnlich) hinzu.

Bedenke aber, dass du hier die Sicherheit deiner Infrastruktur gefährdest. Denn alles was der Benutzer darf, erleichtert es Viren oder Trojanern ungemein face-smile

Gruß, Andi
mk139
mk139 26.02.2016 um 08:31:32 Uhr
Goto Top
Hallo andiii,

dankeschön für deine Hilfe.

So eine Gruppe habe ich schon und diese funktioniert auch wunderbar. Ich möchte nur, dass ich bei Computern, die in dieser "Allow Local Admin Rights" Gruppe sind, selbst direkt an dem jeweiligen Computer manuell eingeben kann, wer in der "Administratoren" Gruppe sein soll und wer nicht, ohne das diese immer wieder raus gelöscht werden.

Schönen Gruß

mike
emeriks
emeriks 26.02.2016 um 08:38:00 Uhr
Goto Top
Hi,
das geht so nicht. Der einzige Weg, das zu realisieren, ist, dafür zu sorgen, dass keine GPO für solche Computer wirkt, welche die Administratoren über "Restricted Groups" vorgibt.

E.
Arteas
Arteas 26.02.2016 um 08:38:35 Uhr
Goto Top
Ich versteh das so :

Computer A
Computer B
Computer C

sind alle in einer bestimmten OU.

Alle User auf den Rechner bekommen auf die Clients lokale Adminrechte, bzw. sollen auf diesen Rechnern lokale Adminrechte bekommen ?
emeriks
emeriks 26.02.2016 aktualisiert um 08:43:35 Uhr
Goto Top
Nein. Er hat offensichtlich eine GPO, welche für alle Computer die lokalen Admins vorgibt. Jetzt will er offenbar, dass für ein paar Ausnahme-Computer diese Vorgabe nicht gilt, dass er dort manuell die Mitgliedschaft ändern kann, ohne dass diese GPO das hinterher wiederrückgängig macht.
mk139
mk139 26.02.2016 aktualisiert um 09:05:43 Uhr
Goto Top
Hallo zusammen,

danke Leute für eure Hilfe.

Ja genau emeriks. Also bräuchte ich 2 Gruppen die "Allow Local Admin Rights" und eine "Not Allow Local Admin Rights" z.B.. Alle "normalen Computer in die "Not Allow Local Admin Rights" und die vereinzelten für die die vorgaben nicht gelten in die "Allow Local Admin Rights, und die GPO's dann den jeweiligen Gruppen zugeordnet? Oder gibts noch eine andere Möglichkeit?

Schönen Gruß

mike

EDIT: Kann man da evtl. auch mit einem WMI Filter arbeiten?
emeriks
Lösung emeriks 26.02.2016 aktualisiert um 10:33:59 Uhr
Goto Top
Hi,
wie Du die Computer filterst, über Gruppenmitgliedschaft oder über WMI, dass ist irrelevant. Du musst es nur tun.

Aber eine 2. GPO macht nur dann sinn, wenn Du genau 2 Varianten für die Vorgabe der Mitgliedschaft der lokalen Administratoren hast und diese auf 2 Gruppen von Computern verteilen willst.
Wenn Du aber nur 1 Variante hast, dann macht auch nur eine GPO Sinn. Du musst nur dafür sorgen, dass diese GPO auf den Ausnahme-Computern nicht wirkt. Das kann man z.B. dadurch erreichen, dass man die Computer in 2 verschiedenen OU legt und die GPO nur auf eine dieser wirken lässt. Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.
Es kommt jetzt darauf an, was sonst noch in dieser GPO eingestellt ist. Ich empfehle auf Grund der gewollten Splittung eine dedizierte GPO für nur diese Einstellung zu verwenden.

E.
mk139
mk139 26.02.2016, aktualisiert am 29.02.2016 um 07:36:30 Uhr
Goto Top
Zitat von @emeriks:
Oder man erstellt eine Gruppe für die Ausnahme-Computer, fügt diese Computer dort hinzu, und benutzt diese Gruppe, um an der GPO über die Sicherheitsfilterung das Recht "Richtlinine übernehmen" verweigert.

Perfekt, dankeschön, die Gruppe hatte ich schon und hab einfach wie du gesagt hast die "Richtlinie übernehmen verweigert... Scheint so auch wunderbar zu funktionieren, und die extra GPO brauch ich auch nicht face-smile

Werd jetzt mal noch ein paar Computer dazu nehmen und Testen.

Schönen Gruß

mike
agowa338
agowa338 26.02.2016 um 19:17:25 Uhr
Goto Top
Ja, das geht, einfach in der zweiten GPO eine Gruppe "Lokal Admin" anlegen lassen, welche auf den entsprechenden clients Mitglied der Gruppe "Administratoren" wird. Dadurch kannst du lokal alle Benutzer zur Gruppe "Lokal Admin" hinzufügen, ohne dass dir dir Gruppe gelöscht wird.