GPO für Server ausschließen - ist es so richtig?

[-rk- 10]

Hallo,

 

ich habe eine GPO (um Fragen vorzubeugen; von der Firmenleitung so ausdrücklich gewünscht):

Benutzerkonfiguration (Aktiviert)
Einstellungen
Systemsteuerungseinstellungen
Lokale Benutzer und Gruppen
Gruppe (Name: Administratoren (integriert))
Administratoren (integriert) (Reihenfolge: 1)
Lokale Gruppe
Aktion Aktualisieren 
Eigenschaften Gruppenname Administratoren (integriert) 
Mitglieder hinzufügen NT-AUTORITÄT\INTERAKTIV 

Die ist mit der Domäne verknüpft und soll bewirken, dass jeder AD-User auf dem Rechner an dem er gerade angemeldet ist auch lokaler Admin ist. Als Fehler führt es leider auch dazu, dass man sich auch an einem Server per Remote Desktop mit seinen Benutzer-Creds anmelden kann, da da der User automatisch auch lokaler (Server-)Admin ist.. 

 

Um das zu verhindern, habe ich die GPO auf Domänenebene gelöscht und neu mit der OU 'Firmenrechner' verknüpft. Darin (und nicht in 'Computers') befinden sich alle Rechner der Firma. Nachdem ich auch noch für diese OU den Loopbackmodus aktiviert habe und die GPO auf 'erzwingen' gesetzt habe, funktioniert das jetzt anscheinend wie gewünscht.

 

Ist das der beste Weg? Geht es besser?

 

Eigentlich wollte ich die GPO auf der Domänenebene lassen und nur Ausführung in der OU 'Firmenserver' verhindern. Bei den Delegationseinstellungen konnte ich aber diese OU nicht sehen bzw. auswählen. Ich hätte hier nur händisch die Server namentlich eintragen können, nicht die Gruppe an sich. Warum kann ich hier keine OU (bzw. nicht diese OU) auswählen?

 

[testperson 1.728]

Hi,

 

du solltest der Firmenleitung klar machen, dass User mit lokalen Administratorrechten (an jedem Rechner) ein No-Go sind.

 

Gruß

Jan

[Sunny61 809]

Der Geschäftsführer ist übrigens voll haftbar für sein Tun. Und jeden Benutzer zum lokalen Admin zu machen, ist sicherheitstechnisch ein No Go. 

[NilsK 2.968]

Moin,

 

rein aus GPO-Sicht ist das korrekt so, ansonsten stimme ich meinen beiden Vorrednern zu.

 

Gruß, Nils