bill_mustermann 1 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 (bearbeitet) Hallo, ich würde gerne an einer Gruppe von PCs den Domänen Usern lokale Admin Rechte geben. Leider haut das nicht hin. Ich bin wie folgt vorgegangen: - Im AD eine OU erstellt: Test - Im AD eine Gruppe erstellt:Lokale Administratoren - In der AD OU "test" einen PC zugefügt - In der AD Gruppe "Lokale Administratoren" die Mitglieder "Administrator" und "Domänen-Admins" sowie einen AD User "Testuser" zugefügt. Bei diese Gruppe ist Mitglied von habe ich eingetragen: Administratoren. - Im GPO Editor habe ich dann Rechtsklick auf die neue OU "Test" und dort eine Policiy erstellt und verknüpft. - Diese GPO editiert indem ich Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen die Gruppe "domäne\Lokale Administratoren" zugewiesen habe. In den Eigenschaften dieser Gruppe im GPO Editor habe ich weder "Mitglieder" noch "Mitglied von" editiert denn ich bin der Meinung das das ja schon in der AD Gruppe geschehen ist und das dann dort auch greift. gpupdate auf server und pc ausgeführt. auf dem pc das ganze überprüft -> Es hat sich rein garnichts verändert :( Dort stehen nach wie vor die alten Einstellungen unter Computerverwaltung -> Lokale Benutzer und Gruppen -> Gruppen -> Adminstratoren. Sinn der Sache soll sein alle alten Einstellungen zu überschreiben. D.H. Alle bisherigen lokalen Admins entfernen und nur die der GPO einfügen. Nun die Preisfrage: So What? Wo ist mein Denkfehler? Was habe ich falsch gemacht? gruesse bearbeitet 13. Dezember 2013 von bill_mustermann Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 Ich würde das eher über die Preferences statt "Eingeschränkte Gruppen" machen. "Computerkonfiguration - Einstellungen - Systemsteuerungseinstellung - Lokale Gruppen und Benutzer" und da als Aktion "Ersetzen" wählen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 In diesem Artikel ziemlich weit unten zu finden: http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ Zusätzlich lesenswert: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 Ich würde das eher über die Preferences statt "Eingeschränkte Gruppen" machen. Das ist doch subjektiv, oder gibt's dafür technische Gründe? ;) Bye Norbert Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 13. Dezember 2013 Autor Melden Teilen Geschrieben 13. Dezember 2013 (bearbeitet) Kann mir vielleicht jemand detailiert sagen wie ich vorzugehen habe per GPO. Ich bin immer noch der Meinung das die Gruppe die ich im AD erstellt habe ausreichen sollte. Dafür ist sie ja da. Da stehen die User drinn die lokaler admin sein dürfen und das die Gruppe mitglied von Administratoren ist. Wenn ich in dem GPO Editor auch noch user zufügen muss ist die AD Gruppe für mich irgendwie sinnfrei. Ich steh aufm Schlauch! Ahhhh, denkfehler.........ich muss im GPO Editor die lokale Gruppe Adminstratoren zufügen und darin dann meine Gruppe Lokale Adminstratoren als Member eintragen. Jetzt ist nur noch meine erstellte Gruppe und der Adminsitrator in der Gruppe Administratoren. Soweit so gut. Wenn jetzt mein testuser versucht ne software zu installieren kann er das über "als admin ausführen" immer noch machen :( das soll er eben nicht dürfen. er soll garnix installieren dürfen. bearbeitet 13. Dezember 2013 von bill_mustermann Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 Das ist doch subjektiv Völlig richtig. Bei dieser Lösung muß ich weniger "denken". Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 13. Dezember 2013 Autor Melden Teilen Geschrieben 13. Dezember 2013 Hat jemand noch ne idee hierzu: Jetzt ist nur noch meine erstellte Gruppe und der Adminsitrator in der Gruppe Administratoren. Soweit so gut. Wenn jetzt mein testuser versucht ne software zu installieren kann er das über "als admin ausführen" immer noch machen :( das soll er eben nicht dürfen. er soll garnix installieren dürfen. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 Na wenn er das Adminkennwort kennt, wirst du das wohl schlecht verhindern können, oder? Vielleicht versteh ich das Problem ja nicht. ;) Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 13. Dezember 2013 Autor Melden Teilen Geschrieben 13. Dezember 2013 hehe :) ne ohne eingabe eines admin kennworts ging das. Mal zum Verständniss: Sehe ich das richtig das wenn ich einem User die lokalen Admin Rechte entzihe er keine Software mehr installieren können dürfte? gruesse Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 hehe :) ne ohne eingabe eines admin kennworts ging das. Dann ist er lokaler Admin und darf das. Na logisch geht das dann auch ohne Kennwort. Mal zum Verständniss: Sehe ich das richtig das wenn ich einem User die lokalen Admin Rechte entzihe er keine Software mehr installieren können dürfte? Jain, es gibt genügend Software, die sich trotzdem installieren läßt. ;) Bspw. ins Userprofil. Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Dezember 2013 Melden Teilen Geschrieben 13. Dezember 2013 (bearbeitet) Hallo, habe ich das richtig verstanden: Ein Benutzer in der Gruppe der Administratoren, der nicht installieren dürfen soll? Ist das nicht ein unvereinbarer Gegensatz? Es gibt kein Recht Installation. Die Gruppe der Administratoren hat Vollzugriff auf Verzeichnisse und Registry. bearbeitet 13. Dezember 2013 von lefg Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 16. Dezember 2013 Autor Melden Teilen Geschrieben 16. Dezember 2013 Hallo, habe ich das richtig verstanden: Ein Benutzer in der Gruppe der Administratoren, der nicht installieren dürfen soll? Ist das nicht ein unvereinbarer Gegensatz? Es gibt kein Recht Installation. Die Gruppe der Administratoren hat Vollzugriff auf Verzeichnisse und Registry. Nein, falsch verstanden.Ein user der nicht in der Gruppe Administratoren ist soll/darf nichts installieren. gruesse Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 Nein, falsch verstanden.Ein user der nicht in der Gruppe Administratoren ist soll/darf nichts installieren. Das ist ja der Standard. Es gibt natürlich viele Programme die zwar eine Installationsroutine mitbringen, aber sich z.B. einwandfrei in die Eigenen Dateien installieren lassen und dabei auch nicht versuchen in %programfiles% oder %windir% zu schreiben. Schon ist der Admin außen vor. Dagegen hilft nur das verbieten von Ausführbaren Dateien außerhalb von %programfiles% und %windir%. Dann müssen diese Programme von einem Admin installiert werden und der Benutzer kann sie nur benutzen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 (bearbeitet) Nein, falsch verstanden.Ein user der nicht in der Gruppe Administratoren ist soll/darf nichts installieren. Ja, falsch verstanden, oder auch falsch erklärt, meist geht es ja um Installation, um Vollzugriff dafür. In der Überschrift steht lokale Adminrechte. Und Du schriebst. ich würde gerne an einer Gruppe von PCs den Domänen Usern lokale Admin Rechte geben Was sollen denn Adminrechte sein? Gibt es so etwas? Wo sthet das, wo sind die in Windows festgelegt? Nochmals. Der Administrator, die Gruppe der Administratoren hat i.d.R. Vollzugriff auf Verzeichnsisse und Registry. Worum geht es dir also? bearbeitet 16. Dezember 2013 von lefg Zitieren Link zu diesem Kommentar
bill_mustermann 1 Geschrieben 16. Dezember 2013 Autor Melden Teilen Geschrieben 16. Dezember 2013 Hi, da hab ich mich wohl etwas verwirrend ausgedrückt ;) Ich möchte folgendes: - Eine Gruppe die lokale Admins an bestimmten PCs sind und dort entsprechend alles dürfen. - Eine weitere Gruppe denen ich die lokalen Admin Rechte entziehe (vorher waren ALLE lokale Admins, händisch an jedem PC eigens eingetragen), welche dann eben nicht mehr alles dürfen. Ich habe das nun wie folgt realisiert. - eine GPO lokale Admins nur mit den usern administratoren und domänen admins -> ganz oben in der OU Hierarchie (diese soll erstmal allen die lokalen Admin rechte entziehen) - eine GPO lokale Admins IT nur mit den usern administratoren und domänen admins und den usern die lokale Admins sein dürfen -> auf die OU angewendet in der die gruppe der pcs ist auf denen sie lokale admins sein dürfen gruesse Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.