Lokale Administratoren via GPO

Hallo zusammen,

ich bin mit meinem Latein am Ende und bräuchte mal Hilfe :) face-smile
Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Wenn ich in der GPO eine User direkt der Gruppe Administratoren zuweise hat der Benutzer am Ziel Client auch entsprechende Rechte:

Da ich das aber "unsauber" finde, wollte ich das alles über Gruppen steuern, d.h. Security Group im AD angelegt, Benutzer der Gruppe hinzugefügt und via GPO die Security Gruppe der lokalen Administratoren Gruppe hinzufügen.

Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Wenn ich den User dann manuell der Gruppe Administratoren hinzufüge greifen die Rechte sofort!?!?!

Kann es angehen, das man an der Stelle nicht mit Gruppen arbeiten kann oder übersehe ich etwas?

Hoffe ihr versteht was ich meine.

Viele Grüße,
Olli

Content-Key: 667444

Url: https://administrator.de/contentid/667444

Ausgedruckt am: 21.06.2021 um 02:06 Uhr

21 Kommentare
Mitglied: Mystery-at-min
Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Da ich das aber "unsauber" finde

sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.
Mitglied: PeterPanter
Hallo Olli,

hast du den betreffenden User ab- und angemeldet? Beim Anmelden wird einmal die Gruppenzugehörigkeit geprüft und kommt mit ins aktuelle Anmelde-Token. Die AD-Gruppen-Zugehörigkeiten werden nicht on-the-fly geändert. Ist nur ne Idee. Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.

Grüße zurück / Peter
Mitglied: PeterPanter
Zitat von @Mystery-at-min:
sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.

Moin, die lokalen Admins müssen nicht unbedingt Domain-Admins sein. Aber stimmt schon, dass man nicht alle User mit lokalen Admin-Rechten arbeiten lassen sollte.
/pp
Mitglied: SlainteMhath
Moin,

Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.
Natürlich kann man das, haben wir so am laufen und geht.

@Mystery-at-min
wenn die lokalen Admins keine Domänenadmins ... sind, dann: lass es.
Sorry, die Aussage ist so ja eher sinnfrei. Warum sollten nur Domainadmins lokale Adminrechte erhalten?!

lg,
Slainte
Mitglied: Mystery-at-min
Hast du auch Recht, ich wollte damit sagen, dass keine "normalen" User Adminrechte haben. also keine die nicht aus der Domänenstruktur getrennt sind und für Administratives angelegt wurden -> Keine Nutzer mit Admin-Rechten...
Mitglied: IT-Capitain
Absolut korrekt mit den User was ihr sagt. Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.
Mitglied: DerWoWusste
Hi.

Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.
Das Konzept ist gefährlich. Ich schlage vor, Du schaust Dir mein Konzept dazu an: https://administrator.de/tutorial/sicherer-umgang-supportkonten-262066.h ...
Mitglied: lcer00
Hallo,

eine andere Möglichkeit wäre LAPS https://www.msxfaq.de/windows/endpointsecurity/laps.htm Das wäre auch konform zu den Empfehlungen von Microsoft.

Kann man auch schön über GPOs deployed (wobei das ein anderes Thema wäre). Wichtig: man darf dann natürlich das Lokale Administratorkonto nicht deaktivieren (GPOs prüfen!)

Grüße

lcer
Mitglied: IT-Capitain
Das sieht interessant aus, wäre aber für uns eine mittelfristige Herangehensweise.
Mitglied: DerWoWusste
Mittelfristig, weil...? Das kannst Du binnen ein paar Stunden umsetzen.

Aber gut, zu deinem Problem:
Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Der Nutzer muss beim Logon bereits in der Gruppe sein. Wenn er bereits angemeldet ist, und du änderst dann im AD seine Gruppenmitgliedschaft, dann zieht es erst bei der nächsten Anmeldung.
Mitglied: emeriks
Hi,
ich beobachte z.Z. Ähnliches.
Wir hatten domänenlokale Gruppen dafür vorgesehen. Damit hat es nicht funktioniert, wenn Benutzer und Computer zu verschiedenen Domänen gehören.
Also
  • DL-Gruppe aus der Domäne des Computers.
  • Benutzer aus anderer Domäne in dieser DL-Gruppe.
  • DL-Gruppe in lokale Admins.
Das wird auch alles so übernommen, das Sitzungstoken enthält alle Gruppen, aber UAC behauptet weiterhin, der Benutzer benötige administrative Rechte. Manche Admins haben berichtet, dass es funktionieren würde, wenn man sich "richtig" am Desktop anmeldet, aber nicht, wenn nur über "als Administrator ausführen". Andere berichteten, dass es auf beiden Wegen nicht funktionieren würde.

Erst nachdem wir den Geltungsbereich der Gruppen von domänenlokal auf universell geändert hatte, funktionierte das.

Verstehen muss man das nicht. Ich gehe hier von einem Bug im UAC aus.

E.
Mitglied: mayho33
Wenn ich dich richtig verstehe willst du in einer Gruppe einem normalen AD- Benutzer lokale Administratorrechte geben.

Dann schau dir mal das hier an:

http://woshub.com/add-domain-users-local-admin-group-gpo/


Googlesuche: local administrators group gpo
Mitglied: IT-Capitain
Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.
Mitglied: mayho33
Zitat von @IT-Capitain:

Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.


So war es in meinem Post gemeint (geändert). Schau dir den Link an. Da ist es genau erklärt wie das geht.
Mitglied: DavidHerg
Hey emeriks,

was beduetet DL-Gruppe ?

grüße
DavidHerg
Mitglied: SlainteMhath
was beduetet DL-Gruppe ?
Domainlocal
Mitglied: DavidHerg
vielen dank. Aber sollte man heutzutage .local nicht verwenden ?
Mitglied: Th0mKa
Zitat von @DavidHerg:

vielen dank. Aber sollte man heutzutage .local nicht verwenden ?

Eine domänenlokale Gruppe hat mit dem Namen der Domäne nichts zu tun.

/Thomas
Mitglied: lcer00
Hallo
Zitat von @DavidHerg:

vielen dank. Aber sollte man heutzutage .local nicht verwenden ?
Oh je… etwas Lektüre gefällig?

https://docs.microsoft.com/de-de/windows/security/identity-protection/ac ...

Grüße

lcer
Mitglied: DavidHerg
Sorry, bin noch am Anfang was Domänen usw. angeht :/ :) face-smile
Heiß diskutierte Beiträge
Netzwerke
Kassen freezen ohne ersichtlichen Grund
Ronic1Vor 1 TagFrageNetzwerke12 Kommentare

Hallo Zusammen, ich schreibe heute zum ersten Mal in diesem Forum. Also weißt mich bitte auf etwaige Fehler meinerseits hin. Wie ich in anderen Beiträgen ...

Router & Routing
Deutsche Glasfaser. NT direkt an pfSense möglich oder besser Kaskade?
fnbaluVor 1 TagFrageRouter & Routing23 Kommentare

Hallo zusammen, am kommenden Mittwoch wird bei mir der Deutsche Glasfaser Anschluss aktiviert. Anfangs wird darüber kein Telefon laufen, aber vielleicht später. Mir stellt sich ...

Notebook & Zubehör
Alt-Laptop Vergleichsmeinungen
winlinVor 15 StundenFrageNotebook & Zubehör13 Kommentare

Hallo zusammen Habe zwei Laptops und einen mini pc und würde gerne wissen was ihr zu den beiden Laptops sagt??? Was dürfte ich Max an ...

Batch & Shell
Problem mit einer Batchdatei
stevie72Vor 1 TagFrageBatch & Shell11 Kommentare

Guten Abend zusammen! Ich habe ein problem eine Batch ans laufen zu bekommen. Folgende Problem Stellung: Wir haben etwa 20 Rechner in der Bibliothek. Darauf ...

TK-Netze & Geräte
Starface mit NGN verliert Gateway
FabezzVor 1 TagFrageTK-Netze & Geräte9 Kommentare

Guten Morgen zusammen, ich hoffe dass ich das richtige Thema getroffen habe. In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht ...

Virtualisierung
Adobe Flash Player für Zugriff auf VMWare Horizon
Moenchengladbacher-ITVor 1 TagFrageVirtualisierung5 Kommentare

Liebes Support Team, unser Kunde verwendet eine "VMWare Horizon" Applikation, von dem aus Anwendungen/Browser/etc in einer virtuellen Sandbox gestartet werden. Alle Clients haben kein Zugriff ...

Windows 10
Remotedesktopzugang mit Openvpn sicher?
LegofrauVor 17 StundenFrageWindows 106 Kommentare

Guten Morgen, wie sicher ist es wenn man Remotedesktopzugang durch einen Openvpn Tunnel betreibt? Der Openvpn Tunnel ist mit aktuellen Zertifikaten abgesichert. Der Pc hat ...

Firewall
OpenVPN-Problem
gelöst ingorosVor 9 StundenFrageFirewall19 Kommentare

Hallo, habe gestern mit ipfire einen OpenVPN-Server aufgesetzt. Der läuft auch wunderbar. Sowohl Win7, wie auch Win10pro können sich problemlos anmelden. Ein Laptop mit Win10 ...