Lokale Admins i.d. Domäne

Hi!

Ich verwalte eine Windows 2003 Domäne und möchte gerne einrichten, dass auf allen Clients eine weitere Gruppe außer den Domänen Admins in die Gruppe der lokalen Administratoren eingetragen wird.

Ich habe schon in der DefaulDomainPolicy geschaut, aber ich habe den Eintrag nicht gefunden. Weiß einer von Euch über welchen Eintrag in dieser Policy das regelt wird?

Vielen Dank!

Das geht über die Policy "Eingeschränkte Gruppen": Einfach die bisherigen Mitglieder und die neue Gruppe eintragen. Wenn Du das in die Default Domain Policy einträgst, gilt diese Einstellung sowohl für die Clients als auch für die Server.

Ich habe einmal gehört, dass es so eine Funktionalität gibt, kannst Du mir bitte ein Tipp geben wo ich das konfiguriere?

Danke

Das versuche ich auch grade hinzubekommen. Einige user müssen lokale admin rechte haben. Könnte jemand vielleicht mal so nett sein und einen kleinen step by step guide verfassen? Würde es mit ein bisschen basteln bestimmt auch selbst hinbekommen, aber da das system schon produktiv läuft kann ich da jetz kein mist bauen. Habe die user im Moment noch zu den Domänen Admins hinzugefügt, aber das ist ja auch nicht grade der sinn der sache.

Thx im vorraus!

Gruss Selektor

Ich versuch es mal:

Öffen Deine Computerconsole Benutzer und Computer.

Wähle die OU, die die Computerkonten enthält.

(Die Richtlinie wirkt nur auf diese und untergeordnete OU)

Rechten Mausclick auf die OU -> Eigenschaften

Dann oben Reiter Gruppenrichtlinien wählen.

Wenn die neue Gruppenrichtlinien Editor installiert ist, auf öffnen clicken.

Ansonsten ist hier eine neue Richtlinie zu erstellen.

Mit dem neuen Gruppenrichtlinieneditor ist nun auf der OU eine neue Richtlinie zu erstellen z.B. "lokale Admins"

(Ntürlich kann man auch von vorneherein den neuen Editor starten ohne "Benutzer und Computer")

Die Richtlinie ist nun zu bearbeiten.

Rechtsclick im Richtlinieneditor -> bearbeiten.

Unter Windows Einstellungen -> Sicherheitseinstellungen

ist die Option Eingeschränkte Gruppen zuwählen.

Es muss die lokale Admin Gruppe hinzugefügt werden.

Masken sprechen für sich...

Anschließend kann in diese Gruppe Nutzer oder Gruppen aufgenommen werden.

Ich empfehle eine Domänengruppe zu nehmen und in die Domänengruppe dann die Nutzer aufzunehmen, die die Sonderrechte erhalten sollen.

Es ist zu beachten, das die Admingruppe nun den lokalen Admin und diese Gruppe enthält.

Es ist zwar möglich auf den Clients andere Nutzer in die lokale Aadmingruppe zu stecken aber ja nach Replikationsintervall fliegen diese Nutzer wieder raus und der in der GPO festgelegte Zustand tritt wieder ein.

Ich hoffe das war verständlich!

Gruß,

Roi Danton

Um´s noch mal vereinfacht auszudrücken: Jeder (Domänen-)Benutzer oder Gruppe der/die Mitglied der lokalen Gruppen der Administratoren (ich rede hier von der lokalen Benutzeverwaltung) befindet, erhält auf der Maschine (lokale) Adminrechte.

Wie sich das vereinfacht per GPOs regeln lässt wurde schon erklärt.

Jochen

Hey vielen Dank! Das war genau das was ich wissen wollte!!

Auf gleiche Art und Weise kannst Du übrigens einem Benutzer oder einer Gruppe lokale Hauptbenutzerrechte erteilen.

Jochen

Original geschrieben von jvogler

Auf gleiche Art und Weise kannst Du übrigens einem Benutzer oder einer Gruppe lokale Hauptbenutzerrechte erteilen.

 

Jochen

So ist es :)

eine meiner Lieblingsfunktionen :D

OK, vielen Dank für die Tips, aber das führt für mich jetzt zu einer neuen Frage:

Ich habe User die auf Ihren Laptops lokale Admins sein sollen und andere, die nur normale Benutzer sein sollen. Wie löst ihr das? Weil wenn ich solch eine GP auf alle Clients verteile würde, hätte ich sofort keine anderen lokalen Admins mehr außer denen, die ich in der GP eingestellt habe und dem default local Admin auf der Maschine.