Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Usern lokale Adminrechte auf bestimmten Clients per GPO geben

Mitglied: Mactru

Mactru (Level 1) - Jetzt verbinden

19.12.2010 um 21:14 Uhr, 17500 Aufrufe, 9 Kommentare

Hallo zusammen,
ich möchte allen Usern lokale Adminrechte per GPO zuweises. Dazu habe ich eine Gruppe lokaleAdmins erstellt. Ich habe die Fuktion:

Computerkonfiguration/Sicherheitseinstellungen/Eingeschränkte Gruppen

benutzt um die Adminrechte zuweisen zu lassen. Leider haben dadurch die User auf allen Clients, auf die die GPO greift lokale Adminrechte. Allerdings sollen die User nur auf ihren eigenen Clients die Adminrechte erhalten. Vielleicht weiß jemand eine Löseung

Vielen Dank schon mal und viele Grüße
Mac
Mitglied: Xaero1982
19.12.2010 um 23:58 Uhr
Moin,

dann musst du diese Rechner in eine separate OU schieben, ansonsten greift dieses GPO auf alle Rechner in dieser OU.

VG
Bitte warten ..
Mitglied: Logan000
20.12.2010 um 08:24 Uhr
Moin Moin

Oder du gibst das Recht "Gruppenrichtlinie Übernehmen" von den Autentifizierten Usern an eine Gruppe (oder den einen PC) weiter.

Ein Hinweis noch:
Die Einstellung "Eingeschränkte Gruppen" ersetzt komplett die vorhandenen Konfiguration!
Kann schnell nach hinten losgehen.

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 00:02 Uhr
Leider handelt es sich nicht um nur einen PC. Sondern alle. Die User sollen nur auf ihren eigenen PC lokale Adminrechte erhalten. Allerdings dürfen sie keine Domainadminrechte haben. Die darf nur ein bestimmter User haben. Bis jetzt wurde das immer an jeden PC manuell gemacht. Ich wüsste nur gerne ob das auch per GPO geht.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 11:27 Uhr
Moin

Ich wüsste nur gerne ob das auch per GPO geht.
Ja schon. Allerdings benötigst du dann eine GPO Pro User bzw. PC.

Wir haben bei uns für den seltenen Fall, das Anwender mal lokale Adminrechte erhalten sollen per "Eingeschränkte Gruppen" eine Domänen gruppe zu der gruppe der lokalen Administratoren hinzugefügt.
Um einem User lokale Adminrechte zu geben, schubsen wir ihn in diese Gruppe (und hinterher auch wieder heraus).
Natürlich hätte der Anwender dann auf allen Clients Lokale Admin rechte.
Darin sehe ich aber kein Problem, denn wenn ich nicht vertreten kann das jemand Adminrechte auf allen Clients bekommt, dann gebe ich ihm keine.

Ich (an deiner Stelle) würde mich fragen, warum sollen alle User Lokale Administratoren werden?

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 12:55 Uhr
OK, vielen Dank für deine Antwort. Ich hatte mir das so eigentlich schon gedacht und wollte eine Bestätigung haben. So lange arbeite ich nämlich noch nicht mit GPOs und mir fehlt da etwas die Erfahrung.
Es ist eine gute Frage warum alle lokale Adminrechte haben sollen. Einfache Antwort: Der Chef möchte es so
Es kommt wohl hier da mal vor, dass sich die User was installieren müssen. Es handelt sich hier um Programmierer und Entwickler. Deshalb haben sie alle an ihren eigenen PCs lokale Adminrechte.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 13:26 Uhr
Moin Mac

Ein kleiner Rat für die Zukunft:
Einfache Antwort: Der Chef möchte es so
Die Antwort ist einfach nur Sch...
Schliesslich hat er Dich zum obersten Rechteverwalter ernannt. Dann hat er also gute Gründe (die er Dir mitteielt), ansonsten bleit alles wie es ist.

Es handelt sich hier um Programmierer und Entwickler.
Diese Antwort ist 1000 besser.

Nur warum nicht alle Programmierer Adminrechte auf allen Entwicklungsrechnen haben können
bzw. (falls ihr ein paar mehr Entwickler habt) die Mitglieder einzelner Programmierer Teams Administrative Rechte an allen PC des Teams
leuchtet mir nach wie vor nicht ein.
Wie soll das sonst im Vertretungsfall laufen?

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 14:30 Uhr
Wir haben ja gerade erst angefangen uns mit den GPOs zu beschäftigen. Und dann kamen diese Überlegungen dass man es so abändern könnte. Es wird jetzt so bleiben wie es ist. Zumindest mit den lokalen Adminrechten. Gibt ja genügend andere Sachen mit denen man sich in dem Bereich beschäftigen kann.
Für die Vertretung muss keiner an den anderen PC Adminrechte haben. Deshalb ist das schon OK wenn die Rechte dann nicht vorhanden sind.
Meine Meinung konnte ich eigentlich ganz gut rüber bringen. Und wie gesagt, ich wollte sie nur noch mal von einem Fachmann untermauern lassen Und das ist jetzt ja auch geschehen.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 14:59 Uhr
Moin

Dann vergiss alles was ich geschieben hab.
Apropos: Fachmann und GPO. Kennst du schon www.gruppenrichtlinien.de?
Wenn deine Frage geklärt ist, dann setz den Beitrag doch bitte auf gelöst.

Danke.
Gruß L
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 16:07 Uhr
Ne ne, das vergesse ich nicht. Solche Tipps können immer hilfreich sein.
Ja, www.gruppenrichtlinien.de kenne ich bereits. Da habe ich auch schon oft gelesen.
Den Beitrag setze ich jetzt noch auf gelöst. Ich komm bestimmt öfters hier vorbei

Grüße
Mac
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
GPO mit Adminrechten.
Frage von Illuminant777Windows Userverwaltung2 Kommentare

Hallo zusammen, ich habe hier ein kleines Problem und zumindest meine erste Recherche ging in die Hose. Ich habe ...

Windows Server

Lokale Adminrechte per GPO Funktioniert nicht! (AD)

gelöst Frage von firevegetaWindows Server5 Kommentare

Hallo zusammen, wie im Titel schon beschrieben, versuche ich mittels GPO in meiner AD, die User Lokale Adminrechte zu ...

Windows Server

GPO soll zwangsabmeldung von Usern ermöglichen

gelöst Frage von LordNicon79Windows Server7 Kommentare

Hallo zusammen, ich suche grad die Möglichkeit über GPOs ein Zeitfenster zur Anmeldung von Usern zu definieren. Den Punkt ...

Windows Server

Usern auf Terminalserver 2012 Rechte geben um Druckaufträge zu löschen

gelöst Frage von moltovaWindows Server2 Kommentare

Hi, habe das Problem, bei einem Terminalserver Windows Server 2012 sollen alle Benutzer in der Lage sein, eigene + ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 49 MinutenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 55 MinutenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 StundeHardware2 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 1 StundeMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...