11
DC BuiltIn Administrator Gruppe per GPO erweitern
Hallo Zusammen,
kann man per gpo die auf einem DC die BuiltIn Administratorgruppe mit zusätzlichen Gruppen erweitern?
Ich habe per GPO unter Computer -> Preferences -> Control Panel Settings -> Local Users and Group
die Zusätzliche Gruppe für die Built in Administratoren erstellt.
Mit gpresult /r wird mir auch gezeigt, das die Gruppenrichtline zieht....
Jedoch will der DomäneController mit dir Gruppe nicht mit aufnehmen.
VG
kann man per gpo die auf einem DC die BuiltIn Administratorgruppe mit zusätzlichen Gruppen erweitern?
Ich habe per GPO unter Computer -> Preferences -> Control Panel Settings -> Local Users and Group
die Zusätzliche Gruppe für die Built in Administratoren erstellt.
Mit gpresult /r wird mir auch gezeigt, das die Gruppenrichtline zieht....
Jedoch will der DomäneController mit dir Gruppe nicht mit aufnehmen.
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 94172510876
Url: https://administrator.de/contentid/94172510876
Printed on: April 27, 2024 at 06:04 o'clock
11 Comments
Latest comment
Moin,
ja ist denn heute schon Freitag? Ein DC hat keine lokalen Gruppen.
/Thomas
ja ist denn heute schon Freitag? Ein DC hat keine lokalen Gruppen.
/Thomas
Moin,
Erstell eine neue Gruppe und füge die Gruppe zu den dc admins hinzu in deiner AD.
Verstehe die Frage nicht genau aber ich glaube das ist dein Ziel? 😅
Vg
Erstell eine neue Gruppe und füge die Gruppe zu den dc admins hinzu in deiner AD.
Verstehe die Frage nicht genau aber ich glaube das ist dein Ziel? 😅
Vg
jep, das ist mein Ziel.
Möchte mir eigentlich Arbeit ersparen, indem ich die DCs einem Tier0 konzept mit hinzufügen möchte und dies über GPO verteilen will und daher nicht auf jedem DC einzeln rumdümpeln muss...
VG
Möchte mir eigentlich Arbeit ersparen, indem ich die DCs einem Tier0 konzept mit hinzufügen möchte und dies über GPO verteilen will und daher nicht auf jedem DC einzeln rumdümpeln muss...
VG
Eine Gruppe die du auf einem DC anlegst wird auch auf allen anderen DCs erscheinen, denn wie schon erwähnt, ein DC hat keine lokalen Gruppen.
/Thomas
/Thomas
Hi,
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC. Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.
Man kann also schon per GPO "lokale" Gruppen auf einem DC verwalten. Bloß ich würde das niemals über die GPP erledigen sondern über Richtlinien. Diese GPO muss dann für DC's der Domäne gelten und von diesen angewendet werden.
E.
Edit:
Der Sinn sei mal dahingestellt ...
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC. Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.
Man kann also schon per GPO "lokale" Gruppen auf einem DC verwalten. Bloß ich würde das niemals über die GPP erledigen sondern über Richtlinien. Diese GPO muss dann für DC's der Domäne gelten und von diesen angewendet werden.
E.
Edit:
Der Sinn sei mal dahingestellt ...
Moin,
offenbar hast Du die Konzepte des AD und des Tiering und ihre Umsetzung nicht vollständig verstanden.
Erstmal: Builtin lässt man in der Regel in Ruhe. Das ist schon alles richtig so.
Weiter: Da dümpelt nichts auf einem DC einzeln herum. Alles, was ich an Rechten setze und an Gruppen einrichte, gilt immer für alle DCs. Es gibt weder lokale Gruppen noch lokale User. Wenn ich also einem User Domain-Admin-Rechte gebe, dann hat er die auf allen DCs.
Drittens: Du fügst einen DC nicht einem Tier0 hinzu. Der gehört zur Ebene Tier0. Um das Konzept umzusetzen, musst Du die Admins (Domain-Administratoren), die Zugriff auf die DCs haben so einschränken, dass sie sich nur auf den DCs und anderen Tier0-Servern anmelden dürfen. Das kann man durchaus per GPO durchsetzen.
Zum Schluss: Für das Verständnis des Tier-Konzepts und seiner Umsetzung hier zwei Links:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
Die ganze Artikelreihe zu lesen, kann nicht schaden.
Liebe Grüße
Erik
offenbar hast Du die Konzepte des AD und des Tiering und ihre Umsetzung nicht vollständig verstanden.
Erstmal: Builtin lässt man in der Regel in Ruhe. Das ist schon alles richtig so.
Weiter: Da dümpelt nichts auf einem DC einzeln herum. Alles, was ich an Rechten setze und an Gruppen einrichte, gilt immer für alle DCs. Es gibt weder lokale Gruppen noch lokale User. Wenn ich also einem User Domain-Admin-Rechte gebe, dann hat er die auf allen DCs.
Drittens: Du fügst einen DC nicht einem Tier0 hinzu. Der gehört zur Ebene Tier0. Um das Konzept umzusetzen, musst Du die Admins (Domain-Administratoren), die Zugriff auf die DCs haben so einschränken, dass sie sich nur auf den DCs und anderen Tier0-Servern anmelden dürfen. Das kann man durchaus per GPO durchsetzen.
Zum Schluss: Für das Verständnis des Tier-Konzepts und seiner Umsetzung hier zwei Links:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
Die ganze Artikelreihe zu lesen, kann nicht schaden.
Liebe Grüße
Erik
Quote from @emeriks:
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC. Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC. Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.
Ja, so kann man das natürlich auch ausdrücken, ich fürchte aber der TO hat die ganze Thematik nicht richtig verstanden.
/Thomas
Moin,
Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Eben. Damit sind es keine lokalen Gruppen des DCs, sondern der Domain.
Eben. Warum sollte ich das tun und nicht entweder die GUI oder die Shell benutzen, um das eleganter und auch - ich sage mal - praxiskonformer zu lösen?
Liebe Grüße
Erik
Zitat von @emeriks:
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC.
Na ja, doch. Irgendwie schon. Die "lokalen" Gruppen eines DC's sind alle Gruppen in der Domäne des DC.
Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Nur, dass diese mit allen anderen DC's derselben Domäne "geteilt" werden.
Eben. Damit sind es keine lokalen Gruppen des DCs, sondern der Domain.
Man kann also schon per GPO "lokale" Gruppen auf einem DC verwalten. Bloß ich würde das niemals über die GPP erledigen sondern über Richtlinien. Diese GPO muss dann für DC's der Domäne gelten und von diesen angewendet werden.
Edit:
Der Sinn sei mal dahingestellt ...
Der Sinn sei mal dahingestellt ...
Eben. Warum sollte ich das tun und nicht entweder die GUI oder die Shell benutzen, um das eleganter und auch - ich sage mal - praxiskonformer zu lösen?
Liebe Grüße
Erik
Ahh okay, glaub jetzt habe ichs -> ich hatte bei der T0.Admin Group an eine Seperate Gruppe gedacht....klar wenn die T0.Admin Group = Domäne Admin ist dann passts ja -> Ergibt dann natürlich auch Sinn...
Super, Danke euch für die Erklärung
VG
Super, Danke euch für die Erklärung
VG
Zitat von @erikro:
Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Ich glaube nicht, dass das was mit Philosophie zu tun hat. Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Aber Vorsicht! "Domänenlokal" hat hier nichts damit zu tun, dass nur diese Gruppen in der "lokalen" Domäne gespeichert würden und die anderen nicht.
Zitat von @emeriks:
Zitat von @erikro:
Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Ich glaube nicht, dass das was mit Philosophie zu tun hat. Nicht wirklich alle, sondern nur die domainlokalen. Zumindest ist das das Ergebnis von get-localgroup auf der Powershell. Aber nun wird es eher philosophisch.
Doch.
Je nach dem wie man die Kategorie "lokal" definiert, kommt man zu verschiedenen Ergebnissen:Lokal -eq "Nur auf diesem Computer". Daraus folgt: Es gibt auf dem DC keine lokalen Gruppen, da es keine gibt, die nur auf diesem Computer existieren.
Lokal -eq "Nur in dieser Domain". Daraus folgt, dass die domainlokalen Gruppen gemeint sind, da diese ausschließlich in der Domain, in der sie liegen, sichtbar und gültig sind.
Lokal -eq "In dieser Domain gespeichert". Daraus folgt, dass alle in der Domain existierenden Gruppen lokal sind also auch globale und universelle. Diese Definition wäre aber einigermaßen sinnbefreit.
Liebe Grüße
Erik