Lokale Gruppen über Policy

[xrated2 15]

Hallo

 

es gibt ja die Möglichkeit über GPP die lokalen Gruppen zu steuern.

Nun werden da aber leider nicht alle Member hinzugefügt und ich weiß nicht warum.

 

Die Einstellung:

 

Gruppenname Administratoren (integriert) 
Beschreibung modified by nonadmin gpp 
Alle Mitgliederbenutzer löschen Aktiviert 
Alle Mitgliedergruppen löschen Deaktiviert 
Mitglieder hinzufügen

BUILTIN\Administrator  
DOMAIN\IT-Helpdesk 
DOMAIN\helpdesk 
DOMAIN\Domänen-Admins

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein 
Element entfernen, wenn es nicht mehr angewendet wird Nein 
Nur einmalig anwenden Nein 
 

Die fett markierten (User+Gruppe) funktionieren aber nicht. Ich sehe mit rsop auch keine Fehler und der Text in der Beschreibung taucht auch in der Gruppe auf.
 

Weiß jemand wieso?

[MurdocX 939]

Konfiguriere das über die „Eingeschränkten Gruppen“ in den GPOs. Das funktioniert einwandfrei. 

[NorbertFe 2.016]

Und wenn das PCs sein sollten entferne die Domänenadmins.

[xrated2 15]

Hatte ich auch schon mal verwendet aber da ich noch andere Policy dieser Art benutze wo ich dem User lokale Adminrechte je nach PC Name erteile, wäre es nicht schlecht wenn man bei einer Methode bleibt denke ich.

vor 16 Minuten schrieb NorbertFe:

Und wenn das PCs sein sollten entferne die Domänenadmins.

 

gefährlich?

[MurdocX 939]

vor 1 Stunde schrieb xrated2:

gefährlich?

Warum? (: 

[NorbertFe 2.016]

vor 2 Stunden schrieb xrated2:

gefährlich?

Ja!

[MurdocX 939]

Falsch konfiguriert könntest du natürlich in die Wäsche schauen  Das brauchen wir sicher nicht erklären.

[NorbertFe 2.016]

Domänenadmins auf PCs sind falsch konfiguriert. Will nur keiner hören.

[MurdocX 939]

O.o 

 

Dann können aber viele bald keine Rechner mehr administrieren 

[NorbertFe 2.016]

Das ist dann aber sicher :)

[daabm 1.335]

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Mehr kann ich dazu nicht beitragen. Warum das nicht alle so machen, weiß ich nicht. Restricted Groups sind Grütze.

[xrated2 15]

Da steht unter GPP lokale Gruppen: "Wenn hier 5 Mitglieder hinzugefügt werden und eines der Mitglieder existiert nicht (oder das Hinzufügen scheitert aus anderen Gründen), dann werden alle weiteren Mitglieder nicht mehr hinzugefügt."

 

Also das könnte ein Grund sein. Kann das ein Problem sein wenn Gruppen und User über verschiedene OU verteilt sind oder das Objekt nicht gefunden wird? Die administrativen User habe ich nämlich im default Users Container aber die Gruppen in einer OU.

 

Was bringt es am PC eine zusätzliche lokale Gruppe anzulegen im Gegensatz zum nutzen der vorhandenen lokalen Administratoren Gruppe?

[daabm 1.335]

Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht

 

In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen.

Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt.

 

NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.

[xrated2 15]

Ja soweit war ich auch aber warum die nicht funktioniert das ist die Frage. Muss ich wohl noch etwas rumtesten um drauf zu kommen.

 

btw. hier Seite 49

https://www.troopers.de/downloads/troopers17/TR17_AD_signed.pdf

Da steht bei local accounts extra mit Ausrufezeichen do not use GPPs. Aber wieso?

 

Edit: Vermutlich wenn man Passwörter in AD eintippt soviel wie ich gefunden habe, siehe auch LAPS

bearbeitet 11. Juni 2019 von xrated2

[daabm 1.335]

Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...