Gruppenrichtlinie zum Hinzufügen lokaler Administratoren
Hallo zusammen,
ich habe ein Problem mit Gruppenrichtlinien und hoffe ihr könnt mir weiterhelfen.
Vor einiger Zeit habe ich eine Gruppenrichtlinie erzeugt welche der lokalen Gruppe "Administratoren" die Gruppe "Domain-Admins", einen bestimmten Domain-User und ein bestehendes lokales Adminkonto hinzufügt. Diese Gruppenrichtlinie wird auch erfolgreich auf allen Rechnern angewendet. Nun habe ich jedoch bemerkt, dass die Gruppe "Administratoren" an einigen Clients hin und wieder sporadisch leer ist. Führe ich dann "gpupdate /force" über die Kommandozeile aus, ist - nach einem Neustart - alles wieder beim Alten.
Wird diese Gruppenrichtlinie am DC deaktiviert oder gelöscht dann scheint es auch einen Rollback zu geben. Die lokale Gruppe "Administratoren" enthält dann spätestens nach einem Neustart des Clients oder längerem Idle ohne Benutzeranmeldung keine User bzw. Gruppen mehr.
Daher meine Fragen:
Wie kann ich die Gruppenrichtlinie löschen und gleichzeitig einen Rollback für Clients verhindern, die diese Gruppenrichtlinie bereits abgerufen haben?
Wie kann ich die Gruppenrichtlinie so konfigurieren, dass Sie einmalig am Domaincontroller abgefragt wird? (Über den Reiter "Gemeinsam" und Haken setzen bei "Nur einmal anwenden." hat es leider nicht funktioniert. Spätestens wenn der Client sporadisch die lokalen Administratoren verliert, wird die Gruppenrichtlinie nicht erneut abgefragt und der Rechner verbleibt ohne lokalen Admin.)
Insgesamt scheint es für mich so, als ob die Clients die Gruppenrichtlinie bei jedem Start erneut abfragen.
Eckdaten:
- Domaincontroller-OS: Windows Server 2012 R2
- Client-OS: überwiegend Windows 10, vereinzelt Windows 7
Hier nochmal ein Bild der Konfiguration:
Sagt bitte bescheid, falls Ihr noch Infos benötigt.
Schon vorab vielen Dank für eure Antworten.
Mit freundlichen Grüßen
Jimmy
ich habe ein Problem mit Gruppenrichtlinien und hoffe ihr könnt mir weiterhelfen.
Vor einiger Zeit habe ich eine Gruppenrichtlinie erzeugt welche der lokalen Gruppe "Administratoren" die Gruppe "Domain-Admins", einen bestimmten Domain-User und ein bestehendes lokales Adminkonto hinzufügt. Diese Gruppenrichtlinie wird auch erfolgreich auf allen Rechnern angewendet. Nun habe ich jedoch bemerkt, dass die Gruppe "Administratoren" an einigen Clients hin und wieder sporadisch leer ist. Führe ich dann "gpupdate /force" über die Kommandozeile aus, ist - nach einem Neustart - alles wieder beim Alten.
Wird diese Gruppenrichtlinie am DC deaktiviert oder gelöscht dann scheint es auch einen Rollback zu geben. Die lokale Gruppe "Administratoren" enthält dann spätestens nach einem Neustart des Clients oder längerem Idle ohne Benutzeranmeldung keine User bzw. Gruppen mehr.
Daher meine Fragen:
Wie kann ich die Gruppenrichtlinie löschen und gleichzeitig einen Rollback für Clients verhindern, die diese Gruppenrichtlinie bereits abgerufen haben?
Wie kann ich die Gruppenrichtlinie so konfigurieren, dass Sie einmalig am Domaincontroller abgefragt wird? (Über den Reiter "Gemeinsam" und Haken setzen bei "Nur einmal anwenden." hat es leider nicht funktioniert. Spätestens wenn der Client sporadisch die lokalen Administratoren verliert, wird die Gruppenrichtlinie nicht erneut abgefragt und der Rechner verbleibt ohne lokalen Admin.)
Insgesamt scheint es für mich so, als ob die Clients die Gruppenrichtlinie bei jedem Start erneut abfragen.
Eckdaten:
- Domaincontroller-OS: Windows Server 2012 R2
- Client-OS: überwiegend Windows 10, vereinzelt Windows 7
Hier nochmal ein Bild der Konfiguration:
Sagt bitte bescheid, falls Ihr noch Infos benötigt.
Schon vorab vielen Dank für eure Antworten.
Mit freundlichen Grüßen
Jimmy
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 507200
Url: https://administrator.de/forum/gruppenrichtlinie-zum-hinzufuegen-lokaler-administratoren-507200.html
Ausgedruckt am: 26.04.2025 um 00:04 Uhr
3 Kommentare
Neuester Kommentar
Hi,
wenn Du die Mitgliedschaft der Gruppe komplett vorgeben willst/kannst, dann ist es besser, die Richtlinie "eingeschränkte Gruppen" dafür zu verwenden.
Die Einstellung "Lokale Benutzer und Gruppen" würde ich nur verwenden, um neue lokale Gruppen und/oder Benutzer zu erstellen, oder zu löschen.
Edit: Um einzelne Mitglieder einer Gruppe hinzuzufügen oder zu entfernen würde ich ein Startup-Script nehmen.
Wenn Du das für alle Computer auf Standard zurücksetzen willst, dann entferne diese Einstellung und füge gleichzeitig die o.g. Richtlinien hinzu. In der Richtlinie eintragen
E.
wenn Du die Mitgliedschaft der Gruppe komplett vorgeben willst/kannst, dann ist es besser, die Richtlinie "eingeschränkte Gruppen" dafür zu verwenden.
Die Einstellung "Lokale Benutzer und Gruppen" würde ich nur verwenden, um neue lokale Gruppen und/oder Benutzer zu erstellen, oder zu löschen.
Edit: Um einzelne Mitglieder einer Gruppe hinzuzufügen oder zu entfernen würde ich ein Startup-Script nehmen.
Wenn Du das für alle Computer auf Standard zurücksetzen willst, dann entferne diese Einstellung und füge gleichzeitig die o.g. Richtlinien hinzu. In der Richtlinie eintragen
- Administrator
- DOMÄNE\Domänen-Admins
E.
Hey Emeriks,
danke für die schnelle Antwort.
Ich werde Deine Lösung testen und mich dann bei Dir zurückmelden.
Viele Grüße
Jimmy
danke für die schnelle Antwort.
Ich werde Deine Lösung testen und mich dann bei Dir zurückmelden.
Viele Grüße
Jimmy
Hallo Emeriks,
super, das hat geklappt. Habe die alten Gruppenrichtlinie entfernt und die neue via "eingeschränkte Gruppen" erzeugt.
Die Clients scheinen nun keine lokalen Admins mehr zu verlieren.
Vielen Dank nochmal an dieser Stelle.
Viele Grüße
Jimmy
super, das hat geklappt. Habe die alten Gruppenrichtlinie entfernt und die neue via "eingeschränkte Gruppen" erzeugt.
Die Clients scheinen nun keine lokalen Admins mehr zu verlieren.
Vielen Dank nochmal an dieser Stelle.
Viele Grüße
Jimmy
