Lokale Adminrechte per GPO entfernen

[Wurzerl 10]

Hallo,

 

Ich möchte gerne über die Gruppenrichtlinie bei Windows 2000 (AD) verhindern, daß ein Domänenbenutzer lokale Adminrechte auf seiner Workstation bekommt, d.h. auch wenn dieser Benutzer als lokaler Administrator eingetragen ist, soll das über die GPO überschrieben werden (wenn möglich dauerhaft).

 

lg

Alfred

[grizzly999 11]

Das geht nicht, Admin ist Admin, das ist in jedem betriebssystem so.

 

 

grizzly999

[Wurzerl 10]

Da habe ich mich wohl falsch ausgedrückt.

 

 

Nur Domänenadministratoren dürfen & müssen Mitglied in der WS-lokalen Gruppe der Administratoren sein.

 

Alle anderen Domänenbenutzer dürfen kein Mitglied der WS-lokalen Admingruppe sein.

 

Dies will ich über eine GPO im AD erreichen.

[grizzly999 11]

Meiner Erfahrung nach geht das das nicht per zentraler GPO, auch nicht mit der Richtlinie "Eingeschränkte Gruppen", da die Richtlinie Gruppen/Benutzer nur additiv, also zusätzlich zum Lokalen Administrator, in die lokale Adminsitratorengruppe hinzufügt. Nachhaltig liesse sich das wohl nur über einen lokalen Zugriff, interaktiv oder per Fernzugriff auf die Computerverwaltung, durch Entfernen des lokalen Administrators aus der Administratorengruppe regeln.

 

 

grizzly999

[Wurzerl 10]

Über die Computerverwaltung läßt sich dieses ja lösen, aber über eine GPO wär´s einfacher, weil es immer wieder ein paar "Spezialisten" gibt, die sich die Rechner einfach neu aufsetzen.

[Velius 10]

Also so genau habe ich das noch nicht verfolgt (weiso auch, denn wie soll sich ein normaler Benutzer zum lokalen Admin machen können? :suspect: ), aber wenn man dem Link glaubt, dann werden die lokalen Einstellungen komplett überschrieben:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird.

 

Oder versteh' ich da was falsch?

[Wurzerl 10]

@ Velius

 

danke, super Tipp - werd mich morgen gleich damit auseinandersetzen, das könnte es sein.

 

Ein Benutzer kann sich dadurch zum lokalen Admin machen, indem er seinen Rechner neu aufsetzt. Nachdem per Standardrichtlinie es auch Domänenbenutzern erlaubt ist, 10 WS in die Domäne zu hängen, kann solcherlei Unfug nur dadurch verhindert werden, indem es nur mehr den Administratoren erlaubt wird, WS in die Domäne aufzunehmen und restriktive GPO´s zu erstellen, die die lokalen Einstellungen der Benutzergruppen überschreiben.

 

Es ist halt ein ewiger Kampf... :)

[Velius 10]

Da gibt's möglicherwiese auch eine Lösung, werde aber wieder posten, sobald ich mehr weiss. :p

[grizzly999 11]

Original geschrieben von Velius

... aber wenn man dem Link glaubt, dann werden die lokalen Einstellungen komplett überschrieben:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

Die Botschaft hör' ich wohl, doch allein mir fehlt der Glaube :D

Goethe's Faust

Ja, so ungefähr steht es bei Kollege Mark, aber die reale Welt spricht anders, nämlich so wie ich ;)

 

Fürchte dich nicht, glaube nur!

Markus 5,36

 

... oder versuche es selbst :D

 

 

 

grizzly999

[Velius 10]

Habe ja erwähnt, dass ich mir nicht sicher bin, da ich es nicht verfolge..... :D :D :D

[Velius 10]

@wurzerl

 

 

Wenn du nicht willst, dass sie der Domäne beitretten können, dann versuch den folgenden Wert auf 0 zu setzen:

 

Domänenbenutzer können Workstation oder Server nicht zu einer Domäne hinzufügen

 

 

Methode 3: Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

Sie können das Standardlimit mit einer der folgenden Methoden außer Kraft setzen:

• Verwenden Sie das Tool Ldp (Ldp.exe), das im Microsoft Windows 2000 Resource Kit zu finden ist.

• Verwenden Sie ein ADSI-Skript (ADSI = Active Directory Services Interface), um den Wert des Active Directory-Attributs "ms-DS-MachineAccountQuota" zu erhöhen oder herabzusetzen.

 

 

Gruss

Velius

[Wurzerl 10]

@Velius

 

danke für die Tipps - es funktioniert alles wunderbar :)

 

@ grizzly

 

ich hab´s probiert :D - es gibt keinen anderen Administrator mehr :D :D

 

Und dies ist die Lösung:

 

Richtlinie f. Default Domain Policy

 

# Kein Benutzer kann eine WS zur Domäne hinzufügen

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten

Hinzufügen von Arbeitsstationen zur Domäne

Domäne\Administrator

Domäne\Domänen-Admins

 

# Es kann nur einen geben :D

 

Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen

 

Eine neue Gruppe mit dem Namen Administratoren erstellen

Folgende Benutzer und Gruppen als Mitglieder hinzufügen:

 

Administrator

Domäne\Administrator

Domäne\Domänen-Admins

 

 

Diese Maßnahme entfernt alle Mitglieder der lokalen Administratoren auf der WS und ersetzt sie durch die gewünschten.