moses-south
Goto Top

Mitglieder der lokalen Benutzer und Gruppen über GPO ändern

Einen wunderschönen guten Morgen zusammen

Erst mal ein herzliches Willkommen und danke für eure bisherige Unterstützung, anhand der Fragen die mir beantwortet wurden, ohne sie zu stellen face-smile

Es geht um ein Netzwerk mit folgender Einrichtung:
- Windows Server SBS 2008 (Jeweils 1 DC, 1 SQL, 1 Terminal und 1 Print)
- Windows 7 SP1 Clients
- ca. 75 User (2010: 20 User)
- Konzept für Umstellung ist bereits in Arbeit

Folgendes Problem / Frage:
Leider wurde bei der Installation der Clients häufig die Gruppe "Domänen-Benutzer" in die Gruppe der Administratoren aufgenommen. Das war Anfang 2010 und damals war es auch so gewollt von der GL. Da wir in letzter Zeit vermehrt Probleme mit Spam, Viren, Trojanern und Toolbars face-smile haben, dachte ich mir, kein Problem, ab in die Gruppenrichtlinien und auf den Clients die Zuordnung der Lokalen Gruppe ändern.
Soweit so gut. Dann kommt jedoch folgende Kuriosität:
9ed6f5522bfd35b353c5b565e6f3c6d9

Die Aktion der Eigenschaften der Gruppe "Domänen-Admins" nennt sich "Aus der Gruppe entfernen", die Aktion in der Übersicht jedoch "ADD". Im Gegensatz dazu "Dieser Gruppe hinzufügen" für zu "REMOVE" in der Übersicht.

Jetzt bin ich ziemlich irritiert, weil ich nicht weis was genau die richtige Einstellung ist. Ich möchte ja nicht, dass plötzlich die Administratoren keinen Zugriff mehr haben. face-devilish

Ist das eine Besonderheit von SBS 2008? Und was ist die richtige Einstellung?

Und noch eine Frage am Rande, was sind eure Kriterien, welches GPO ihr verwendet?

Wäre über eure Hilfe Dankbar.

Grüsse

Content-ID: 263010

Url: https://administrator.de/forum/mitglieder-der-lokalen-benutzer-und-gruppen-ueber-gpo-aendern-263010.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

emeriks
Lösung emeriks 11.02.2015, aktualisiert am 18.02.2015 um 10:20:40 Uhr
Goto Top
Hi,
das ist einer der Gründe, warum ich mich bei manchen Einstellungen der GPP auch zurückhalte.
Wir steuern bei uns die lokalen Gruppen immer noch über die klassischen GPO.

Computereinstellungen - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - eingeschränkte Gruppen

Man muss da zwar beachten, dass diese Richtlinie nicht addititv wirkt, sondern immer nur die Einstellung der "gewinnenden" GPO. Das heißt, Du kannst nicht zwei GPO auf einen Computer wirken lassen, die eine trägt "Hans" ein und die andere "Peter" und am Ende sind beide drin. Das geht nicht.
Aber wir machen das schon seit vielen Jahren so. Mittels klassischer GPO-Vererbungsregeln haben wir dann auch die Aussnahmen bedient bekommen. Das ganze ist logisch und funktioniert zuverlässig.

E.
Andinistrator1
Andinistrator1 11.02.2015 um 08:52:24 Uhr
Goto Top
Hallo moses-south,

SBS2008 kann ich nicht helfen, jedoch meine Standardkriterien:

Für jeden Server richte ich min. 3 AD Gruppen ein und verteile diese in die Servergrupen, z.B.

Computerverwaltung > lokale Benutzer und Gruppen > Gruppen

Servername_Administratoren
Servername_Benutzer
Servername_Remotedesktopbenutzer

Obwohl in die unteren beiden Gruppen die gleichen User reinkommen, trenne ich es (vorsorglich). In die Gruppen packe ich NIE einzelne User oder "Domain Users" (den Salat darfst du jetzt ausbaden), nur die vom System vergeben wurden.

Bevor du also etwas löschst, empfehle ich dir wie oben vorzugehen, die Gruppe "Domain Users" erst entfernen, wenn du alle User in die Gruppe(n) gepackt hast. Pack einfach mal alle User rein, die sind ja jetzt auch schon drin durch den Gruppe "Domain Users".

Das Konzept funktioniert seit AD 2003 noch immer.

Der User muss sich vollständig ab-/anmelden, über CMD "gpresult /r" kannst du prüfen ob die GPO gezogen wurde.
moses-south
moses-south 11.02.2015 um 17:20:41 Uhr
Goto Top
Danke schon mal für eure Anregungen. Habe ich mir notiert, wenn es darum geht, das (Grob-)Konzept zu verfeinern.

@emeriks
Das klingt sehr interessant, scheitert in der aktuellen Situation jedoch daran, dass die "Domänen-User" bereits in der lokalen Administratoren-Gruppe drinnen sind, oder?


@Andinistrator1
So in etwa habe ich es für die Server auch umgesetzt. Speziell für den TRM. Die weitere Aufteilung kommt dann wenn die neue Umgebung steht. Ich werde so wenig wie möglich aus der alten Umgebung mitnehmen, was Rechte und Gruppen betrifft.
Zitat von @Andinistrator1: (den Salat darfst du jetzt ausbaden)
Das ist aber noch mehr als freundlich ausgedrückt face-big-smile
Kommt davon wenn innerhalb von 4.5 Jahren ein kleinstKMU zu einem industriellen Unternehmen anwächst, die IT-Struktur aber stehen bleibt.
Immerhin gibt es eine verbindliche IT-Richtlinie... seit 6 Monaten face-smile

Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...

Grüssle
moses-south
emeriks
Lösung emeriks 11.02.2015, aktualisiert am 18.02.2015 um 10:20:42 Uhr
Goto Top
Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit
funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...

Na, in Mathe ist
x + (-1) = x - 1

Also ein "Entfernen" hinzufügen.

face-wink

E.
moses-south
moses-south 18.02.2015 um 08:38:30 Uhr
Goto Top
Es hat inzwischen wirklich funktioniert mit "entfernen" um ein "ADD" zu erreichen face-smile

Danke auch für die Ideen für meine nächste Mamautaufgabe:
Der GL erklären wie die zukünftige Domäne aussehen wird...