5
Lokale Administratorrechte entziehen über GPO
Hallo zusammen,
ich habe hier bei einem Kunden die Situation das jeder User an seinem PC Adminrechte hat.
Wie er die bekommen hat weiß ich nicht aber nicht über eine Gruppenrichtlinie denn wenn ich einen neuen Rechner installiere und der User sich das erste mal anmeldet ist es so wie es sein soll: Er ist Domänen-Benutzer mit den entsprechenden Rechten. Ich finde auch nichts in den GPO´s. Ich vermute mal das der vorherige Systembetreuuer jedem User "manuell" Admin Rechte gegeben hat.
Ich möchte den Usern nun über eine GPO die Lokalen Adminrechte entziehen. Ich habe es auch schon über die "Eingeschränkte Gruppen" Richtlinie unter
Computerkonfiguration-Richtlinien-Windowseinstellungen-Sicherheitsrichtlinien-Eingeschränkt Gruppen
versucht, komme aber nicht weiter.
Wenn ich da eine neue Gruppe hinzufüge und dann unter "diese Gruppe ist Mitglied von" die Gruppe "Domänen-Benutzer" hinzufüge ändert sich nichts.
Aber wahrscheinlich bin ich da falsch.
Kann mir jemand sagen wo ich ansetzten muss?
Anbei ein Screenshot wie es auf den Clients aussieht zum besseren Verständniß.
Danke.
ich habe hier bei einem Kunden die Situation das jeder User an seinem PC Adminrechte hat.
Wie er die bekommen hat weiß ich nicht aber nicht über eine Gruppenrichtlinie denn wenn ich einen neuen Rechner installiere und der User sich das erste mal anmeldet ist es so wie es sein soll: Er ist Domänen-Benutzer mit den entsprechenden Rechten. Ich finde auch nichts in den GPO´s. Ich vermute mal das der vorherige Systembetreuuer jedem User "manuell" Admin Rechte gegeben hat.
Ich möchte den Usern nun über eine GPO die Lokalen Adminrechte entziehen. Ich habe es auch schon über die "Eingeschränkte Gruppen" Richtlinie unter
Computerkonfiguration-Richtlinien-Windowseinstellungen-Sicherheitsrichtlinien-Eingeschränkt Gruppen
versucht, komme aber nicht weiter.
Wenn ich da eine neue Gruppe hinzufüge und dann unter "diese Gruppe ist Mitglied von" die Gruppe "Domänen-Benutzer" hinzufüge ändert sich nichts.
Aber wahrscheinlich bin ich da falsch.
Kann mir jemand sagen wo ich ansetzten muss?
Anbei ein Screenshot wie es auf den Clients aussieht zum besseren Verständniß.
Danke.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185586
Url: https://administrator.de/forum/lokale-administratorrechte-entziehen-ueber-gpo-185586.html
Ausgedruckt am: 10.04.2025 um 21:04 Uhr
5 Kommentare
Neuester Kommentar
Wie lange sind denn die Rechner schon im AD? Wenn die Rechner vorhin nicht im AD waren und die Benutzer lokale Admins waren, dann werden diese Einstellungen übernommen beim hinzufügen des Rechners in die Domäne. Somit haben die User nachher wieder Admin-Rechte.
Wie man auf dem Screenshot sehen kann, ist ein lokaler User der "Admin" (der wurde manuell erstellt und ist nicht der Windows vordefinierte "Administrator"). Dieser "Admin" ist in der Gruppe Administratoren. Deswegen hat er noch Adminrechte.
Zudem hat der Domänen-User, denn du hinzugefügt hast (der Durchgestrichene) auch lokale Admin-Rechte.
Um dies zu deaktivieren folgende Schritte ausführen:
Auf den User klicken > Eigenschaften > Gruppenmitgliedschaft (Reiter wechseln) > Standardbenutzer
Auf diese Weise hätte dieser User keine Adminrechte mehr
Wie man auf dem Screenshot sehen kann, ist ein lokaler User der "Admin" (der wurde manuell erstellt und ist nicht der Windows vordefinierte "Administrator"). Dieser "Admin" ist in der Gruppe Administratoren. Deswegen hat er noch Adminrechte.
Zudem hat der Domänen-User, denn du hinzugefügt hast (der Durchgestrichene) auch lokale Admin-Rechte.
Um dies zu deaktivieren folgende Schritte ausführen:
Auf den User klicken > Eigenschaften > Gruppenmitgliedschaft (Reiter wechseln) > Standardbenutzer
Auf diese Weise hätte dieser User keine Adminrechte mehr
Moin.
Du musst Dich an der Stelle der GPO genauer umsehen. Es geht so (hierzu zitiere ich mal Microsoft MVP Laura E. Hunter):
You can deploy Restricted Groups in either an additive or a destructive fashion:
Du brauchst Ersteres ("destructive"). Dran denken, dass die Domänenadmins als Mitglieder aufgelistet werden müssen.
Du musst Dich an der Stelle der GPO genauer umsehen. Es geht so (hierzu zitiere ich mal Microsoft MVP Laura E. Hunter):
You can deploy Restricted Groups in either an additive or a destructive fashion:
- Destructive: Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
- Additive: Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
Du brauchst Ersteres ("destructive"). Dran denken, dass die Domänenadmins als Mitglieder aufgelistet werden müssen.
@interneIT: Danke aber das weiß ich. Ich habe aber keine Lust an allen Clients das manuell zu machen. Ich brauche dafür eine GPO.
@derwowousste
Danke das hat jetzt geklappt. ALLERDINGS ist jetzt auch der Lokale Admin weg. Also in diesem Beispiel PC017-Admin-Administratoren.
Gibt es eine Möglichkeit diesen Beizubehalten bei allen Clients? Also natürlich auch von PC001, PC002, usw.
Ich dachte eigebtlich das der Lokale ADmin bei der GPO beibehalten wird und sich das nur auf die Domänenkonten bezieht.
Danke das hat jetzt geklappt. ALLERDINGS ist jetzt auch der Lokale Admin weg. Also in diesem Beispiel PC017-Admin-Administratoren.
Gibt es eine Möglichkeit diesen Beizubehalten bei allen Clients? Also natürlich auch von PC001, PC002, usw.
Ich dachte eigebtlich das der Lokale ADmin bei der GPO beibehalten wird und sich das nur auf die Domänenkonten bezieht.
Mach es, wie beschrieben:
on the Member tab list the users who should be members of that group
->dort ALLE aufzählen, die da rein sollen. Meist sind das nur "administrator" und domänenname\domänen-admins
