jimmy2343
Goto Top

Gruppenrichtlinie zum Hinzufügen lokaler Administratoren

Hallo zusammen,

ich habe ein Problem mit Gruppenrichtlinien und hoffe ihr könnt mir weiterhelfen.

Vor einiger Zeit habe ich eine Gruppenrichtlinie erzeugt welche der lokalen Gruppe "Administratoren" die Gruppe "Domain-Admins", einen bestimmten Domain-User und ein bestehendes lokales Adminkonto hinzufügt. Diese Gruppenrichtlinie wird auch erfolgreich auf allen Rechnern angewendet. Nun habe ich jedoch bemerkt, dass die Gruppe "Administratoren" an einigen Clients hin und wieder sporadisch leer ist. Führe ich dann "gpupdate /force" über die Kommandozeile aus, ist - nach einem Neustart - alles wieder beim Alten.

Wird diese Gruppenrichtlinie am DC deaktiviert oder gelöscht dann scheint es auch einen Rollback zu geben. Die lokale Gruppe "Administratoren" enthält dann spätestens nach einem Neustart des Clients oder längerem Idle ohne Benutzeranmeldung keine User bzw. Gruppen mehr.

Daher meine Fragen:
Wie kann ich die Gruppenrichtlinie löschen und gleichzeitig einen Rollback für Clients verhindern, die diese Gruppenrichtlinie bereits abgerufen haben?
Wie kann ich die Gruppenrichtlinie so konfigurieren, dass Sie einmalig am Domaincontroller abgefragt wird? (Über den Reiter "Gemeinsam" und Haken setzen bei "Nur einmal anwenden." hat es leider nicht funktioniert. Spätestens wenn der Client sporadisch die lokalen Administratoren verliert, wird die Gruppenrichtlinie nicht erneut abgefragt und der Rechner verbleibt ohne lokalen Admin.)

Insgesamt scheint es für mich so, als ob die Clients die Gruppenrichtlinie bei jedem Start erneut abfragen.

Eckdaten:
- Domaincontroller-OS: Windows Server 2012 R2
- Client-OS: überwiegend Windows 10, vereinzelt Windows 7

Hier nochmal ein Bild der Konfiguration:
gpo-lokaler-admin

Sagt bitte bescheid, falls Ihr noch Infos benötigt.

Schon vorab vielen Dank für eure Antworten.

Mit freundlichen Grüßen
Jimmy

Content-Key: 507200

Url: https://administrator.de/contentid/507200

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: emeriks
Lösung emeriks 21.10.2019 aktualisiert um 15:45:13 Uhr
Goto Top
Hi,
wenn Du die Mitgliedschaft der Gruppe komplett vorgeben willst/kannst, dann ist es besser, die Richtlinie "eingeschränkte Gruppen" dafür zu verwenden.
Die Einstellung "Lokale Benutzer und Gruppen" würde ich nur verwenden, um neue lokale Gruppen und/oder Benutzer zu erstellen, oder zu löschen.
Edit: Um einzelne Mitglieder einer Gruppe hinzuzufügen oder zu entfernen würde ich ein Startup-Script nehmen.

Wenn Du das für alle Computer auf Standard zurücksetzen willst, dann entferne diese Einstellung und füge gleichzeitig die o.g. Richtlinien hinzu. In der Richtlinie eintragen
  • Administrator
  • DOMÄNE\Domänen-Admins

E.
Mitglied: Jimmy2343
Jimmy2343 22.10.2019 um 08:52:54 Uhr
Goto Top
Hey Emeriks,

danke für die schnelle Antwort.

Ich werde Deine Lösung testen und mich dann bei Dir zurückmelden.

Viele Grüße
Jimmy
Mitglied: Jimmy2343
Jimmy2343 24.10.2019 um 08:49:05 Uhr
Goto Top
Hallo Emeriks,

super, das hat geklappt. Habe die alten Gruppenrichtlinie entfernt und die neue via "eingeschränkte Gruppen" erzeugt.

Die Clients scheinen nun keine lokalen Admins mehr zu verlieren.

Vielen Dank nochmal an dieser Stelle.

Viele Grüße
Jimmy