Jun 09, 2021

3051

Lokale Administratoren via GPO

Hallo zusammen,

ich bin mit meinem Latein am Ende und bräuchte mal Hilfe

Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Wenn ich in der GPO eine User direkt der Gruppe Administratoren zuweise hat der Benutzer am Ziel Client auch entsprechende Rechte:

Da ich das aber "unsauber" finde, wollte ich das alles über Gruppen steuern, d.h. Security Group im AD angelegt, Benutzer der Gruppe hinzugefügt und via GPO die Security Gruppe der lokalen Administratoren Gruppe hinzufügen.

Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Wenn ich den User dann manuell der Gruppe Administratoren hinzufüge greifen die Rechte sofort!?!?!

Kann es angehen, das man an der Stelle nicht mit Gruppen arbeiten kann oder übersehe ich etwas?

Hoffe ihr versteht was ich meine.

Viele Grüße,
Olli

Please also mark the comments that contributed to the solution of the article

Content-Key: 667444

Url: https://administrator.de/contentid/667444

Printed on: April 19, 2024 at 15:04 o'clock

21 Comments

Latest comment

Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Da ich das aber "unsauber" finde

sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.

Hallo Olli,

hast du den betreffenden User ab- und angemeldet? Beim Anmelden wird einmal die Gruppenzugehörigkeit geprüft und kommt mit ins aktuelle Anmelde-Token. Die AD-Gruppen-Zugehörigkeiten werden nicht on-the-fly geändert. Ist nur ne Idee. Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.

Grüße zurück / Peter

Zitat von @Mystery-at-min:
sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.

Moin, die lokalen Admins müssen nicht unbedingt Domain-Admins sein. Aber stimmt schon, dass man nicht alle User mit lokalen Admin-Rechten arbeiten lassen sollte.
/pp

Moin,

Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.

Natürlich kann man das, haben wir so am laufen und geht.

@Mystery-at-min

wenn die lokalen Admins keine Domänenadmins ... sind, dann: lass es.

Sorry, die Aussage ist so ja eher sinnfrei. Warum sollten nur Domainadmins lokale Adminrechte erhalten?!

lg,
Slainte

Hast du auch Recht, ich wollte damit sagen, dass keine "normalen" User Adminrechte haben. also keine die nicht aus der Domänenstruktur getrennt sind und für Administratives angelegt wurden -> Keine Nutzer mit Admin-Rechten...

Absolut korrekt mit den User was ihr sagt. Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.

Hi.

Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.

Das Konzept ist gefährlich. Ich schlage vor, Du schaust Dir mein Konzept dazu an: Sicherer Umgang mit Supportkonten

Hallo,

eine andere Möglichkeit wäre LAPS https://www.msxfaq.de/windows/endpointsecurity/laps.htm Das wäre auch konform zu den Empfehlungen von Microsoft.

Kann man auch schön über GPOs deployed (wobei das ein anderes Thema wäre). Wichtig: man darf dann natürlich das Lokale Administratorkonto nicht deaktivieren (GPOs prüfen!)

Grüße

lcer

Das sieht interessant aus, wäre aber für uns eine mittelfristige Herangehensweise.

Mittelfristig, weil...? Das kannst Du binnen ein paar Stunden umsetzen.

Aber gut, zu deinem Problem:

Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????

Der Nutzer muss beim Logon bereits in der Gruppe sein. Wenn er bereits angemeldet ist, und du änderst dann im AD seine Gruppenmitgliedschaft, dann zieht es erst bei der nächsten Anmeldung.

Hi,
ich beobachte z.Z. Ähnliches.
Wir hatten domänenlokale Gruppen dafür vorgesehen. Damit hat es nicht funktioniert, wenn Benutzer und Computer zu verschiedenen Domänen gehören.
Also

DL-Gruppe aus der Domäne des Computers.
Benutzer aus anderer Domäne in dieser DL-Gruppe.
DL-Gruppe in lokale Admins.

Das wird auch alles so übernommen, das Sitzungstoken enthält alle Gruppen, aber UAC behauptet weiterhin, der Benutzer benötige administrative Rechte. Manche Admins haben berichtet, dass es funktionieren würde, wenn man sich "richtig" am Desktop anmeldet, aber nicht, wenn nur über "als Administrator ausführen". Andere berichteten, dass es auf beiden Wegen nicht funktionieren würde.

Erst nachdem wir den Geltungsbereich der Gruppen von domänenlokal auf universell geändert hatte, funktionierte das.

Verstehen muss man das nicht. Ich gehe hier von einem Bug im UAC aus.

E.

Wenn ich dich richtig verstehe willst du in einer Gruppe einem normalen AD- Benutzer lokale Administratorrechte geben.

Dann schau dir mal das hier an:

http://woshub.com/add-domain-users-local-admin-group-gpo/

Googlesuche: local administrators group gpo

Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.

https://serverfault.com/questions/1025118/ad-group-added-to-local-admins ...

Das beschreibt exakt mein Problem!

Zitat von @IT-Capitain:

Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.

So war es in meinem Post gemeint (geändert). Schau dir den Link an. Da ist es genau erklärt wie das geht.