5
Mitglieder der lokalen Benutzer und Gruppen über GPO ändern
Einen wunderschönen guten Morgen zusammen
Erst mal ein herzliches Willkommen und danke für eure bisherige Unterstützung, anhand der Fragen die mir beantwortet wurden, ohne sie zu stellen
Es geht um ein Netzwerk mit folgender Einrichtung:
- Windows Server SBS 2008 (Jeweils 1 DC, 1 SQL, 1 Terminal und 1 Print)
- Windows 7 SP1 Clients
- ca. 75 User (2010: 20 User)
- Konzept für Umstellung ist bereits in Arbeit
Folgendes Problem / Frage:
Leider wurde bei der Installation der Clients häufig die Gruppe "Domänen-Benutzer" in die Gruppe der Administratoren aufgenommen. Das war Anfang 2010 und damals war es auch so gewollt von der GL. Da wir in letzter Zeit vermehrt Probleme mit Spam, Viren, Trojanern und Toolbars haben, dachte ich mir, kein Problem, ab in die Gruppenrichtlinien und auf den Clients die Zuordnung der Lokalen Gruppe ändern.
Soweit so gut. Dann kommt jedoch folgende Kuriosität:
Die Aktion der Eigenschaften der Gruppe "Domänen-Admins" nennt sich "Aus der Gruppe entfernen", die Aktion in der Übersicht jedoch "ADD". Im Gegensatz dazu "Dieser Gruppe hinzufügen" für zu "REMOVE" in der Übersicht.
Jetzt bin ich ziemlich irritiert, weil ich nicht weis was genau die richtige Einstellung ist. Ich möchte ja nicht, dass plötzlich die Administratoren keinen Zugriff mehr haben.
Ist das eine Besonderheit von SBS 2008? Und was ist die richtige Einstellung?
Und noch eine Frage am Rande, was sind eure Kriterien, welches GPO ihr verwendet?
Wäre über eure Hilfe Dankbar.
Grüsse
Erst mal ein herzliches Willkommen und danke für eure bisherige Unterstützung, anhand der Fragen die mir beantwortet wurden, ohne sie zu stellen
Es geht um ein Netzwerk mit folgender Einrichtung:
- Windows Server SBS 2008 (Jeweils 1 DC, 1 SQL, 1 Terminal und 1 Print)
- Windows 7 SP1 Clients
- ca. 75 User (2010: 20 User)
- Konzept für Umstellung ist bereits in Arbeit
Folgendes Problem / Frage:
Leider wurde bei der Installation der Clients häufig die Gruppe "Domänen-Benutzer" in die Gruppe der Administratoren aufgenommen. Das war Anfang 2010 und damals war es auch so gewollt von der GL. Da wir in letzter Zeit vermehrt Probleme mit Spam, Viren, Trojanern und Toolbars
haben, dachte ich mir, kein Problem, ab in die Gruppenrichtlinien und auf den Clients die Zuordnung der Lokalen Gruppe ändern.Soweit so gut. Dann kommt jedoch folgende Kuriosität:
Die Aktion der Eigenschaften der Gruppe "Domänen-Admins" nennt sich "Aus der Gruppe entfernen", die Aktion in der Übersicht jedoch "ADD". Im Gegensatz dazu "Dieser Gruppe hinzufügen" für zu "REMOVE" in der Übersicht.
Jetzt bin ich ziemlich irritiert, weil ich nicht weis was genau die richtige Einstellung ist. Ich möchte ja nicht, dass plötzlich die Administratoren keinen Zugriff mehr haben.
Ist das eine Besonderheit von SBS 2008? Und was ist die richtige Einstellung?
Und noch eine Frage am Rande, was sind eure Kriterien, welches GPO ihr verwendet?
Wäre über eure Hilfe Dankbar.
Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263010
Url: https://administrator.de/contentid/263010
Printed on: April 19, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hi,
das ist einer der Gründe, warum ich mich bei manchen Einstellungen der GPP auch zurückhalte.
Wir steuern bei uns die lokalen Gruppen immer noch über die klassischen GPO.
Computereinstellungen - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - eingeschränkte Gruppen
Man muss da zwar beachten, dass diese Richtlinie nicht addititv wirkt, sondern immer nur die Einstellung der "gewinnenden" GPO. Das heißt, Du kannst nicht zwei GPO auf einen Computer wirken lassen, die eine trägt "Hans" ein und die andere "Peter" und am Ende sind beide drin. Das geht nicht.
Aber wir machen das schon seit vielen Jahren so. Mittels klassischer GPO-Vererbungsregeln haben wir dann auch die Aussnahmen bedient bekommen. Das ganze ist logisch und funktioniert zuverlässig.
E.
das ist einer der Gründe, warum ich mich bei manchen Einstellungen der GPP auch zurückhalte.
Wir steuern bei uns die lokalen Gruppen immer noch über die klassischen GPO.
Computereinstellungen - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - eingeschränkte Gruppen
Man muss da zwar beachten, dass diese Richtlinie nicht addititv wirkt, sondern immer nur die Einstellung der "gewinnenden" GPO. Das heißt, Du kannst nicht zwei GPO auf einen Computer wirken lassen, die eine trägt "Hans" ein und die andere "Peter" und am Ende sind beide drin. Das geht nicht.
Aber wir machen das schon seit vielen Jahren so. Mittels klassischer GPO-Vererbungsregeln haben wir dann auch die Aussnahmen bedient bekommen. Das ganze ist logisch und funktioniert zuverlässig.
E.
Hallo moses-south,
SBS2008 kann ich nicht helfen, jedoch meine Standardkriterien:
Für jeden Server richte ich min. 3 AD Gruppen ein und verteile diese in die Servergrupen, z.B.
Computerverwaltung > lokale Benutzer und Gruppen > Gruppen
Servername_Administratoren
Servername_Benutzer
Servername_Remotedesktopbenutzer
Obwohl in die unteren beiden Gruppen die gleichen User reinkommen, trenne ich es (vorsorglich). In die Gruppen packe ich NIE einzelne User oder "Domain Users" (den Salat darfst du jetzt ausbaden), nur die vom System vergeben wurden.
Bevor du also etwas löschst, empfehle ich dir wie oben vorzugehen, die Gruppe "Domain Users" erst entfernen, wenn du alle User in die Gruppe(n) gepackt hast. Pack einfach mal alle User rein, die sind ja jetzt auch schon drin durch den Gruppe "Domain Users".
Das Konzept funktioniert seit AD 2003 noch immer.
Der User muss sich vollständig ab-/anmelden, über CMD "gpresult /r" kannst du prüfen ob die GPO gezogen wurde.
SBS2008 kann ich nicht helfen, jedoch meine Standardkriterien:
Für jeden Server richte ich min. 3 AD Gruppen ein und verteile diese in die Servergrupen, z.B.
Computerverwaltung > lokale Benutzer und Gruppen > Gruppen
Servername_Administratoren
Servername_Benutzer
Servername_Remotedesktopbenutzer
Obwohl in die unteren beiden Gruppen die gleichen User reinkommen, trenne ich es (vorsorglich). In die Gruppen packe ich NIE einzelne User oder "Domain Users" (den Salat darfst du jetzt ausbaden), nur die vom System vergeben wurden.
Bevor du also etwas löschst, empfehle ich dir wie oben vorzugehen, die Gruppe "Domain Users" erst entfernen, wenn du alle User in die Gruppe(n) gepackt hast. Pack einfach mal alle User rein, die sind ja jetzt auch schon drin durch den Gruppe "Domain Users".
Das Konzept funktioniert seit AD 2003 noch immer.
Der User muss sich vollständig ab-/anmelden, über CMD "gpresult /r" kannst du prüfen ob die GPO gezogen wurde.
Danke schon mal für eure Anregungen. Habe ich mir notiert, wenn es darum geht, das (Grob-)Konzept zu verfeinern.
@emeriks
Das klingt sehr interessant, scheitert in der aktuellen Situation jedoch daran, dass die "Domänen-User" bereits in der lokalen Administratoren-Gruppe drinnen sind, oder?
@Andinistrator1
So in etwa habe ich es für die Server auch umgesetzt. Speziell für den TRM. Die weitere Aufteilung kommt dann wenn die neue Umgebung steht. Ich werde so wenig wie möglich aus der alten Umgebung mitnehmen, was Rechte und Gruppen betrifft.
Das ist aber noch mehr als freundlich ausgedrückt
Kommt davon wenn innerhalb von 4.5 Jahren ein kleinstKMU zu einem industriellen Unternehmen anwächst, die IT-Struktur aber stehen bleibt.
Immerhin gibt es eine verbindliche IT-Richtlinie... seit 6 Monaten
Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...
Grüssle
moses-south
@emeriks
Das klingt sehr interessant, scheitert in der aktuellen Situation jedoch daran, dass die "Domänen-User" bereits in der lokalen Administratoren-Gruppe drinnen sind, oder?
@Andinistrator1
So in etwa habe ich es für die Server auch umgesetzt. Speziell für den TRM. Die weitere Aufteilung kommt dann wenn die neue Umgebung steht. Ich werde so wenig wie möglich aus der alten Umgebung mitnehmen, was Rechte und Gruppen betrifft.
Das ist aber noch mehr als freundlich ausgedrückt
Kommt davon wenn innerhalb von 4.5 Jahren ein kleinstKMU zu einem industriellen Unternehmen anwächst, die IT-Struktur aber stehen bleibt.
Immerhin gibt es eine verbindliche IT-Richtlinie... seit 6 Monaten
Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...
Grüssle
moses-south
Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit
funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...
funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...
Na, in Mathe ist
x + (-1) = x - 1
Also ein "Entfernen" hinzufügen.
E.
1
Es hat inzwischen wirklich funktioniert mit "entfernen" um ein "ADD" zu erreichen
Danke auch für die Ideen für meine nächste Mamautaufgabe:
Der GL erklären wie die zukünftige Domäne aussehen wird...
Danke auch für die Ideen für meine nächste Mamautaufgabe:
Der GL erklären wie die zukünftige Domäne aussehen wird...
