Per GPO zum lokalen Admin
Hallo Admins...
Ich scheitere an einem ganz einfachen Problem:
Ist-Zustand: Server 2003 Domain, diverse Win XP und Win7 Clients.
Soll-Zustand: jeder Domainuser soll auf jedem lokalen Client als lokaler Admin arbeiten
Ich habe bereits probiert per GPO über die Eingeschränkten Gruppen das zu definieren - die Richtlinie wird leider nicht übernommen.
Ich habe die ganzen Client Computer in die Gruppe eingetragen (Richtlinie übernehmen) - ging nicht, dann die Sicherheitsgruppe mit allen Clientcomputern und weil es irgendwann richtig spät wurde habe ich dann noch alle User (die Sicherheitsgruppe und alle User einzeln) mit aufgenommen.
Ich habe bei gruppenrichtlinien.de einen Beitrag gefunden - es hat nicht funktioniert.
Hat irgendjemand noch eine Idee wie ich das realisieren kann?
Bitte fragt nicht über Sinn und Unsinn - es muss einfach funktionieren.
Vielen Dank
Ich scheitere an einem ganz einfachen Problem:
Ist-Zustand: Server 2003 Domain, diverse Win XP und Win7 Clients.
Soll-Zustand: jeder Domainuser soll auf jedem lokalen Client als lokaler Admin arbeiten
Ich habe bereits probiert per GPO über die Eingeschränkten Gruppen das zu definieren - die Richtlinie wird leider nicht übernommen.
Ich habe die ganzen Client Computer in die Gruppe eingetragen (Richtlinie übernehmen) - ging nicht, dann die Sicherheitsgruppe mit allen Clientcomputern und weil es irgendwann richtig spät wurde habe ich dann noch alle User (die Sicherheitsgruppe und alle User einzeln) mit aufgenommen.
Ich habe bei gruppenrichtlinien.de einen Beitrag gefunden - es hat nicht funktioniert.
Hat irgendjemand noch eine Idee wie ich das realisieren kann?
Bitte fragt nicht über Sinn und Unsinn - es muss einfach funktionieren.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173290
Url: https://administrator.de/forum/per-gpo-zum-lokalen-admin-173290.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Was sind die Fehlermeldungen?
Was im einzelnen geht nicht?
Such mal hier im Forum, da gab es für genau dein Vorhaben mal ein Thread innerhalb des letzten Jahres.
Gruß,
Peter,
[Nachtrag]
http://www.gruppenrichtlinien.de/index.html?/howto/zentrale_vergabe_lok ... sollte dir helfen es umzusetzen.
[/Nachtrag]
Zitat von @OOOmorpheusOOO:
Soll-Zustand: jeder Domainuser soll auf jedem lokalen Client als lokaler Admin arbeiten
Wenn du es explizit so haben willstSoll-Zustand: jeder Domainuser soll auf jedem lokalen Client als lokaler Admin arbeiten
die Richtlinie wird leider nicht übernommen.
ging nicht, dann die
es hat nicht funktioniert.
ging nicht, dann die
es hat nicht funktioniert.
Hat irgendjemand noch eine Idee wie ich das realisieren kann?
Ja, richtig umsetzenIch habe bei gruppenrichtlinien.de einen Beitrag gefunden
Welchen Artikel hast du dort gefunen?Was sind die Fehlermeldungen?
Was im einzelnen geht nicht?
Such mal hier im Forum, da gab es für genau dein Vorhaben mal ein Thread innerhalb des letzten Jahres.
Gruß,
Peter,
[Nachtrag]
http://www.gruppenrichtlinien.de/index.html?/howto/zentrale_vergabe_lok ... sollte dir helfen es umzusetzen.
[/Nachtrag]
Moin Moin
Erstmal prüfst du mit einem Richtlinienergebnis ob die GPO angewendet wird.
Zu den Einstellungen bei "Eingeschränkten Gruppen" möchte ich anmerken, das dadurch vorher alle bestehenden Mitgliedschaften überschrieben werden!
Also wenn du dort die Gruppe der Dom.Admins nicht mitkonfiguriert hast fliegt diese raus.
Gruß L.
Soll-Zustand: jeder Domainuser soll auf jedem lokalen Client als lokaler Admin arbeiten
Sowas ist meistens mist.Ich habe die ganzen Client Computer in die Gruppe eingetragen (Richtlinie übernehmen) -
Bevor Du nicht sicher bist ob es funktioniert, setzt du bitte nur einen Test PC in diese Gruppe.und weil es irgendwann richtig spät wurde habe ich dann noch alle User (die Sicherheitsgruppe und alle User einzeln) mit aufgenommen.
Dazu sag sag ich mal nix.Erstmal prüfst du mit einem Richtlinienergebnis ob die GPO angewendet wird.
Zu den Einstellungen bei "Eingeschränkten Gruppen" möchte ich anmerken, das dadurch vorher alle bestehenden Mitgliedschaften überschrieben werden!
Also wenn du dort die Gruppe der Dom.Admins nicht mitkonfiguriert hast fliegt diese raus.
Gruß L.
@logan
Zitat MVP Laura E. Hunter:
You can deploy Restricted Groups in either an additive or a destructive fashion:
Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.
Aus http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
Zu den Einstellungen bei "Eingeschränkten Gruppen" möchte ich anmerken, das dadurch vorher alle bestehenden Mitgliedschaften überschrieben werden! Also wenn du dort die Gruppe der Dom.Admins nicht mitkonfiguriert hast fliegt diese raus.
Das stimmt nicht. Kommt darauf an, ob man es "oben oder unten" konfiguriert, wenn Du weißt, was ich meine.Zitat MVP Laura E. Hunter:
You can deploy Restricted Groups in either an additive or a destructive fashion:
- Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
- Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.
Aus http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...