Lokale Administratoren via GPO

Mitglied: IT-Capitain

IT-Capitain (Level 1) - Jetzt verbinden

Jun 09, 2021 um 12:22 Uhr, 1077 Aufrufe, 21 Kommentare, 4 Danke

Hallo zusammen,

ich bin mit meinem Latein am Ende und bräuchte mal Hilfe :) face-smile
Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Wenn ich in der GPO eine User direkt der Gruppe Administratoren zuweise hat der Benutzer am Ziel Client auch entsprechende Rechte:

Da ich das aber "unsauber" finde, wollte ich das alles über Gruppen steuern, d.h. Security Group im AD angelegt, Benutzer der Gruppe hinzugefügt und via GPO die Security Gruppe der lokalen Administratoren Gruppe hinzufügen.

Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Wenn ich den User dann manuell der Gruppe Administratoren hinzufüge greifen die Rechte sofort!?!?!

Kann es angehen, das man an der Stelle nicht mit Gruppen arbeiten kann oder übersehe ich etwas?

Hoffe ihr versteht was ich meine.

Viele Grüße,
Olli
Mitglied: Mystery-at-min
Jun 09, 2021 um 12:28 Uhr
Wir wollen die lokalen Administratoren Gruppe auf den Windows 7/10 Clients per GPO mit Usern befüllen.

Da ich das aber "unsauber" finde

sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.
Bitte warten ..
Mitglied: PeterPanter
Jun 09, 2021 um 12:33 Uhr
Hallo Olli,

hast du den betreffenden User ab- und angemeldet? Beim Anmelden wird einmal die Gruppenzugehörigkeit geprüft und kommt mit ins aktuelle Anmelde-Token. Die AD-Gruppen-Zugehörigkeiten werden nicht on-the-fly geändert. Ist nur ne Idee. Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.

Grüße zurück / Peter
Bitte warten ..
Mitglied: PeterPanter
Jun 09, 2021 um 12:39 Uhr
Zitat von @Mystery-at-min:
sagt schon alles, wenn die lokalen Admins keine Domänenadmins (die nur sehr beschränkt zum Einsatz kommen sollten) sind, dann: lass es.

Moin, die lokalen Admins müssen nicht unbedingt Domain-Admins sein. Aber stimmt schon, dass man nicht alle User mit lokalen Admin-Rechten arbeiten lassen sollte.
/pp
Bitte warten ..
Mitglied: SlainteMhath
Jun 09, 2021 um 12:42 Uhr
Moin,

Ob man generell in lokalen Gruppen die AD-SecurityGruppen nutzen kann, weiß ich nicht.
Natürlich kann man das, haben wir so am laufen und geht.

@Mystery-at-min
wenn die lokalen Admins keine Domänenadmins ... sind, dann: lass es.
Sorry, die Aussage ist so ja eher sinnfrei. Warum sollten nur Domainadmins lokale Adminrechte erhalten?!

lg,
Slainte
Bitte warten ..
Mitglied: Mystery-at-min
Jun 09, 2021, aktualisiert um 12:47 Uhr
Hast du auch Recht, ich wollte damit sagen, dass keine "normalen" User Adminrechte haben. also keine die nicht aus der Domänenstruktur getrennt sind und für Administratives angelegt wurden -> Keine Nutzer mit Admin-Rechten...
Bitte warten ..
Mitglied: IT-Capitain
Jun 09, 2021 um 12:55 Uhr
Absolut korrekt mit den User was ihr sagt. Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.
Bitte warten ..
Mitglied: DerWoWusste
Jun 09, 2021 um 13:02 Uhr
Hi.

Es sollen auch nicht pauschal alle User lokale Adminrechte bekommen. Es geht hier um "Servicedesk" User die im Notfall den Benutzer unterstützen sollen/können.
Das Konzept ist gefährlich. Ich schlage vor, Du schaust Dir mein Konzept dazu an: https://administrator.de/tutorial/sicherer-umgang-supportkonten-262066.h ...
Bitte warten ..
Mitglied: lcer00
Jun 09, 2021 um 13:24 Uhr
Hallo,

eine andere Möglichkeit wäre LAPS https://www.msxfaq.de/windows/endpointsecurity/laps.htm Das wäre auch konform zu den Empfehlungen von Microsoft.

Kann man auch schön über GPOs deployed (wobei das ein anderes Thema wäre). Wichtig: man darf dann natürlich das Lokale Administratorkonto nicht deaktivieren (GPOs prüfen!)

Grüße

lcer
Bitte warten ..
Mitglied: IT-Capitain
Jun 09, 2021 um 13:27 Uhr
Das sieht interessant aus, wäre aber für uns eine mittelfristige Herangehensweise.
Bitte warten ..
Mitglied: DerWoWusste
Jun 09, 2021 um 13:30 Uhr
Mittelfristig, weil...? Das kannst Du binnen ein paar Stunden umsetzen.

Aber gut, zu deinem Problem:
Wird auch alles umgesetzt und ich sehe am Client die entsprechende Gruppe. Nur leider greifen die Rechte nicht ????
Der Nutzer muss beim Logon bereits in der Gruppe sein. Wenn er bereits angemeldet ist, und du änderst dann im AD seine Gruppenmitgliedschaft, dann zieht es erst bei der nächsten Anmeldung.
Bitte warten ..
Mitglied: emeriks
Jun 09, 2021, aktualisiert um 15:29 Uhr
Hi,
ich beobachte z.Z. Ähnliches.
Wir hatten domänenlokale Gruppen dafür vorgesehen. Damit hat es nicht funktioniert, wenn Benutzer und Computer zu verschiedenen Domänen gehören.
Also
  • DL-Gruppe aus der Domäne des Computers.
  • Benutzer aus anderer Domäne in dieser DL-Gruppe.
  • DL-Gruppe in lokale Admins.
Das wird auch alles so übernommen, das Sitzungstoken enthält alle Gruppen, aber UAC behauptet weiterhin, der Benutzer benötige administrative Rechte. Manche Admins haben berichtet, dass es funktionieren würde, wenn man sich "richtig" am Desktop anmeldet, aber nicht, wenn nur über "als Administrator ausführen". Andere berichteten, dass es auf beiden Wegen nicht funktionieren würde.

Erst nachdem wir den Geltungsbereich der Gruppen von domänenlokal auf universell geändert hatte, funktionierte das.

Verstehen muss man das nicht. Ich gehe hier von einem Bug im UAC aus.

E.
Bitte warten ..
Mitglied: mayho33
Jun 09, 2021, aktualisiert um 20:59 Uhr
Wenn ich dich richtig verstehe willst du in einer Gruppe einem normalen AD- Benutzer lokale Administratorrechte geben.

Dann schau dir mal das hier an:

http://woshub.com/add-domain-users-local-admin-group-gpo/


Googlesuche: local administrators group gpo
Bitte warten ..
Mitglied: IT-Capitain
Jun 09, 2021 um 16:56 Uhr
Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.
Bitte warten ..
Mitglied: mayho33
Jun 09, 2021, aktualisiert um 20:58 Uhr
Zitat von @IT-Capitain:

Einen Benutzer direkt via GPO der lokalen Administratoren Gruppe zuweisen geht wunderbar.
Wenn ich den Benutzer allerdings in einer Security Group im AD packe und diese Gruppe via GPO der lokalen Administratoren Gruppe zuweise geht es nicht.

Sieht für mich so aus, als wenn es hier ein Problem mit den "verschachtelten" Gruppen gibt.


So war es in meinem Post gemeint (geändert). Schau dir den Link an. Da ist es genau erklärt wie das geht.
Bitte warten ..
Mitglied: DavidHerg
Jun 10, 2021 um 00:44 Uhr
Hey emeriks,

was beduetet DL-Gruppe ?

grüße
DavidHerg
Bitte warten ..
Mitglied: SlainteMhath
Jun 10, 2021 um 07:40 Uhr
was beduetet DL-Gruppe ?
Domainlocal
Bitte warten ..
Mitglied: DavidHerg
Jun 10, 2021 um 15:55 Uhr
vielen dank. Aber sollte man heutzutage .local nicht verwenden ?
Bitte warten ..
Mitglied: Th0mKa
Jun 10, 2021 um 17:53 Uhr
Zitat von @DavidHerg:

vielen dank. Aber sollte man heutzutage .local nicht verwenden ?

Eine domänenlokale Gruppe hat mit dem Namen der Domäne nichts zu tun.

/Thomas
Bitte warten ..
Mitglied: lcer00
Jun 10, 2021 um 17:55 Uhr
Hallo
Zitat von @DavidHerg:

vielen dank. Aber sollte man heutzutage .local nicht verwenden ?
Oh je… etwas Lektüre gefällig?

https://docs.microsoft.com/de-de/windows/security/identity-protection/ac ...

Grüße

lcer
Bitte warten ..
Mitglied: DavidHerg
Jun 10, 2021 um 20:39 Uhr
Sorry, bin noch am Anfang was Domänen usw. angeht :/ :) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Sehr große Dateien über das Internet versenden
solved pd.edv1 day agoQuestionInternet113 Comments

Hallo, ich muss immer wieder große Daten über das Internet übertragen - da werden viele am WeTransfer & Co. denken aber mit den winzigen ...

Hardware
MiniPC Empfehlung AliExpress
winlin1 day agoGeneralHardware24 Comments

Hallo Zusammen, Hat schon mal jemand hier einen Mini pc bei AliExpress gekauft und kann einen empfehlen??? Suche etwas wo ich 2vms problemlos virtualisieren ...

Windows 10
Custom Windows-10-ISO bauen (in kontinuierlicher Verbesserung) - Ausgabe 2021
beidermachtvongreyscull1 day agoTutorialWindows 102 Comments

Editorial kleines Vorwort Ich hoffe, ich habe hier eine für den ein oder anderen Kollegen interessante Lösung zusammengestellt. Alles, was Ihr hier lest, ist ...

Microsoft
User Aktivitäten
Roadmax1 day agoQuestionMicrosoft10 Comments

Hallo Zusammen, ich möchte gerne automatisiert auf jedem Windows 10 PC im Netzwerk prüfen lassen, was der User dort live treibt. Konkret geht es ...

Cloud services
Server mieten - wo?
ZZaaiiggaa10 hours agoQuestionCloud services9 Comments

Hallo zusammen, suche einen Windows Server für SQL zum mieten, mit mindestens: 256GB SSD 32GB Ram Welche Anbieter eignen sich am besten? Und muss ...

Notebook & Accessories
Lenovo Dockingstation - Kompatibilität?
solved Visucius1 day agoQuestionNotebook & Accessories10 Comments

Guten Morgen, wir habens ja gerade mit antiquierter Technik ;-) Vor mir steht ein T440s Lenovo-Laptop, der nen frisches Windows 7 ähh Quatsch Windows ...

LAN, WAN, Wireless
Suche fuer unser Reihenmittelhaus eine "gute" WLAN-Abdeckung
homenet1 day agoQuestionLAN, WAN, Wireless3 Comments

Hallo, suche fuer unser Reihenmittelhaus eine "gute" WLAN-Abdeckung. Benoetigt fuer: Smartphones, Laptops, Radio - max. ca. 10 Geraete gleichzeitig, ueblicherweise ca. 4 Geraete dauernd ...

Windows 10
Dokumentenmanagement-System für den Heimgebrauch
Pineapple2712 hours agoQuestionWindows 104 Comments

Hallo zusammen, kennt jemand ein gutes Dokumentenmanagement-System für den Heimgebrauch und hat eventuell auch schon Erfahrungen damit gemacht? Da ich es rein privat nutzen ...