it-capitain
Goto Top

Lokale Administratoren via GPO

Hallo zusammen,

ich bin mit meinem Latein am Ende und bräuchte mal Hilfe face-smile
Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Wenn ich in der GPO eine User direkt der Gruppe Administratoren zuweise hat der Benutzer am Ziel Client auch entsprechende Rechte:

Da ich das aber "unsauber" finde, wollte ich das alles über Gruppen steuern, d.h. Security Group im AD angelegt, Benutzer der Gruppe hinzugefügt und via GPO die Security Gruppe der lokalen Administratoren Gruppe hinzufügen.

Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Wenn ich den User dann manuell der Gruppe Administratoren hinzufüge greifen die Rechte sofort!?!?!

Kann es angehen, das man an der Stelle nicht mit Gruppen arbeiten kann oder übersehe ich etwas?

Hoffe ihr versteht was ich meine.

Viele Grüße,
Olli

Content-Key: 667444

Url: https://administrator.de/contentid/667444

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: Mystery-at-min
Mystery-at-min 09.06.2021 um 12:28:16 Uhr
Goto Top
Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Da ich das aber "unsauber" finde

sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.
Mitglied: PeterPanter
PeterPanter 09.06.2021 um 12:33:25 Uhr
Goto Top
Hallo Olli,

hast du den betreffenden User ab- und angemeldet? Beim Anmelden wird einmal die Gruppenzugehörigkeit geprüft und kommt mit ins aktuelle Anmelde-Token. Die AD-Gruppen-Zugehörigkeiten werden nicht on-the-fly geändert. Ist nur ne Idee. Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.

Grüße zurück / Peter
Mitglied: PeterPanter
PeterPanter 09.06.2021 um 12:39:23 Uhr
Goto Top
Zitat von @Mystery-at-min:
sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.

Moin, die lokalen Admins müssen nicht unbedingt Domain-Admins sein. Aber stimmt schon, dass man nicht alle User mit lokalen Admin-Rechten arbeiten lassen sollte.
/pp
Mitglied: SlainteMhath
SlainteMhath 09.06.2021 um 12:42:57 Uhr
Goto Top
Moin,

Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.
Natürlich kann man das, haben wir so am laufen und geht.

@Mystery-at-min
wenn die lokalen Admins keine Domänenadmins ... sind, dann: lass es.
Sorry, die Aussage ist so ja eher sinnfrei. Warum sollten nur Domainadmins lokale Adminrechte erhalten?!

lg,
Slainte
Mitglied: Mystery-at-min
Mystery-at-min 09.06.2021 aktualisiert um 12:47:17 Uhr
Goto Top
Hast du auch Recht, ich wollte damit sagen, dass keine "normalen" User Adminrechte haben. also keine die nicht aus der Domänenstruktur getrennt sind und für Administratives angelegt wurden -> Keine Nutzer mit Admin-Rechten...
Mitglied: IT-Capitain
IT-Capitain 09.06.2021 um 12:55:22 Uhr
Goto Top
Absolut korrekt mit den User was ihr sagt. Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.
Mitglied: DerWoWusste
DerWoWusste 09.06.2021 um 13:02:43 Uhr
Goto Top
Hi.

Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.
Das Konzept ist gefährlich. Ich schlage vor, Du schaust Dir mein Konzept dazu an: Sicherer Umgang mit Supportkonten
Mitglied: lcer00
lcer00 09.06.2021 um 13:24:36 Uhr
Goto Top
Hallo,

eine andere Möglichkeit wäre LAPS https://www.msxfaq.de/windows/endpointsecurity/laps.htm Das wäre auch konform zu den Empfehlungen von Microsoft.

Kann man auch schön über GPOs deployed (wobei das ein anderes Thema wäre). Wichtig: man darf dann natürlich das Lokale Administratorkonto nicht deaktivieren (GPOs prüfen!)

Grüße

lcer
Mitglied: IT-Capitain
IT-Capitain 09.06.2021 um 13:27:49 Uhr
Goto Top
Das sieht interessant aus, wäre aber für uns eine mittelfristige Herangehensweise.
Mitglied: DerWoWusste
DerWoWusste 09.06.2021 um 13:30:17 Uhr
Goto Top
Mittelfristig, weil...? Das kannst Du binnen ein paar Stunden umsetzen.

Aber gut, zu deinem Problem:
Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Der Nutzer muss beim Logon bereits in der Gruppe sein. Wenn er bereits angemeldet ist, und du änderst dann im AD seine Gruppenmitgliedschaft, dann zieht es erst bei der nächsten Anmeldung.
Mitglied: emeriks
emeriks 09.06.2021 aktualisiert um 15:29:49 Uhr
Goto Top
Hi,
ich beobachte z.Z. Ähnliches.
Wir hatten domänenlokale Gruppen dafür vorgesehen. Damit hat es nicht funktioniert, wenn Benutzer und Computer zu verschiedenen Domänen gehören.
Also
  • DL-Gruppe aus der Domäne des Computers.
  • Benutzer aus anderer Domäne in dieser DL-Gruppe.
  • DL-Gruppe in lokale Admins.
Das wird auch alles so übernommen, das Sitzungstoken enthält alle Gruppen, aber UAC behauptet weiterhin, der Benutzer benötige administrative Rechte. Manche Admins haben berichtet, dass es funktionieren würde, wenn man sich "richtig" am Desktop anmeldet, aber nicht, wenn nur über "als Administrator ausführen". Andere berichteten, dass es auf beiden Wegen nicht funktionieren würde.

Erst nachdem wir den Geltungsbereich der Gruppen von domänenlokal auf universell geändert hatte, funktionierte das.

Verstehen muss man das nicht. Ich gehe hier von einem Bug im UAC aus.

E.
Mitglied: mayho33
mayho33 09.06.2021 aktualisiert um 20:59:15 Uhr
Goto Top
Wenn ich dich richtig verstehe willst du in einer Gruppe einem normalen AD- Benutzer lokale Administratorrechte geben.

Dann schau dir mal das hier an:

http://woshub.com/add-domain-users-local-admin-group-gpo/


Googlesuche: local administrators group gpo
Mitglied: IT-Capitain
IT-Capitain 09.06.2021 um 16:56:05 Uhr
Goto Top
Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.
Mitglied: IT-Capitain
IT-Capitain 09.06.2021 um 17:06:20 Uhr
Goto Top
Mitglied: mayho33
mayho33 09.06.2021 aktualisiert um 20:58:10 Uhr
Goto Top
Zitat von @IT-Capitain:

Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.


So war es in meinem Post gemeint (geändert). Schau dir den Link an. Da ist es genau erklärt wie das geht.
Mitglied: SearchBox
SearchBox 10.06.2021 um 00:44:02 Uhr
Goto Top
Hey emeriks,

was beduetet DL-Gruppe ?

grüße
DavidHerg
Mitglied: SlainteMhath
SlainteMhath 10.06.2021 um 07:40:38 Uhr
Goto Top
was beduetet DL-Gruppe ?
Domainlocal
Mitglied: SearchBox
SearchBox 10.06.2021 um 15:55:39 Uhr
Goto Top
vielen dank. Aber sollte man heutzutage .local nicht verwenden ?
Mitglied: Th0mKa
Th0mKa 10.06.2021 um 17:53:57 Uhr
Goto Top
Zitat von @SearchBox:

vielen dank. Aber sollte man heutzutage .local nicht verwenden ?

Eine domänenlokale Gruppe hat mit dem Namen der Domäne nichts zu tun.

/Thomas
Mitglied: lcer00
lcer00 10.06.2021 um 17:55:50 Uhr
Goto Top
Hallo
Zitat von @SearchBox:

vielen dank. Aber sollte man heutzutage .local nicht verwenden ?
Oh je… etwas Lektüre gefällig?

https://docs.microsoft.com/de-de/windows/security/identity-protection/ac ...

Grüße

lcer
Mitglied: SearchBox
SearchBox 10.06.2021 um 20:39:17 Uhr
Goto Top
Sorry, bin noch am Anfang was Domänen usw. angeht :/ face-smile