Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO - lokale Administratorengruppe

Frage Microsoft Windows Server

Mitglied: killtec

killtec (Level 3) - Jetzt verbinden

11.01.2018 um 12:37 Uhr, 270 Aufrufe, 18 Kommentare, 1 Danke

Hallo,
ich möchte per GPO die Lokale Administratorengruppe "aufräumen" / einschränken.
Es soll nur der lokale Benutzer namens Administrator hinzugefügt werden und die Gruppe Domänen-Admins. Alles andere soll raus.

Ich habe jetzt in einer GPO zwei Einträge, der eine aktiviert den lokalen Administrator, das funktioniert auch soweit.
der zweite Eintrag soll die Benutzergruppe "gerade" ziehen. Hier liegt der Fehler / das Problem.

Ich habe hier mal Screenshots von der GPO und von dem Ergebnis gemacht:
gpo1 - Klicke auf das Bild, um es zu vergrößern


gpo2 - Klicke auf das Bild, um es zu vergrößern


Das Ergebnis sieht dann so aus:
gpo3 - Klicke auf das Bild, um es zu vergrößern


Wenn ich Testweise Benutzer in die lokale Gruppe mit aufnehme, werden diese auch wie gewünscht gelöscht.


OS: Windows 7 - 10; Server 2008R2 - 2016

Gruß
Mitglied: DerWoWusste
11.01.2018 um 12:53 Uhr
Teste mit einer anderen Gruppe und schreibe auch den Domänennamen mal hin ohne Variable, falls möglich.
Bitte warten ..
Mitglied: killtec
11.01.2018 um 12:57 Uhr
HI @DerWoWusste,
ich habe das auch schon so getestet, dass ich Domänenname\Domänen-Admins hinzugefügt habe, auch dass er die SID rein geschireben hat, mit den selben Ergebnis.
Mit einer anderen Gruppe müsste ich das nochmal testen.

Gruß
Bitte warten ..
Mitglied: emeriks
LÖSUNG 11.01.2018 um 13:32 Uhr
Hi,
wenn man die Mitgliedschaft einer Gruppe komplette vorgeben will dann ist die Richtilinie "eingeschränkte Gruppen" die viel bessere Wahl. Auch sicherer.
Die GPP für lokale Gruppen und Benutzer eignet sich eher für die Erstellung neue Gruppen/Benutzer oder Bearbeitung derer.

E.
Bitte warten ..
Mitglied: DerWoWusste
11.01.2018 um 13:41 Uhr
Aha? Und warum besser/sicherer? Das sollte das selbe sein.
Bitte warten ..
Mitglied: emeriks
11.01.2018 um 13:58 Uhr
Aha? Und warum besser/sicherer? Das sollte das selbe sein.
Mit "sicherer" meine ich hier "zuverlässiger". Die GPP sind Erweiterungen (Client Side Extensions) bei denen immer mal was schief gehen kann und geht.
Weiterhin muss man aufpassen, da diese GPP kummulativ ist. Das kann auch Vorteil sein, je nachdem wie mans braucht.

Bsp. 1
Habe 2 GPO's mit GPP "lokale Benutzer und Gruppen"
eine "oben" an der Domäne verlinkt
die andere "unten" an der OU
Vererbung nicht unterbrochen
beide fügen je einen anderen Benutzer derselben Gruppe hinzu
wenn ich die "obere" GPO erzwinge, weil ich will, dass diese Gruppe genauso ausehen soll, dann wird die "untere" trotzdem noch ausgeführt

Bsp. 2
Habe 2 GPO's mit Richtlinie "eingeschränkte Gruppen"
eine "oben" an der Domäne verlinkt
die andere "unten" an der OU
Vererbung nicht unterbrochen
beide sehen je einen anderen Benutzer in derselben Gruppe als Mitglied vor
wenn ich die "obere" GPO erzwinge, weil ich will, dass diese Gruppe genauso ausehen soll, dann kann die "untere" GPO daran nichts mehr übersteuern

Aber wie gesagt, wie mans braucht.
Bitte warten ..
Mitglied: DerWoWusste
11.01.2018 um 14:08 Uhr
Das ist das Selbe von der Funktionalität. Das Erzwingen interpretierst Du falsch - erzwingen ist nur zum durchbrechen von "block inheritance" da.
Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten. Da MS diese pusht, werden sie besser getestet als die Equivalente unter den GPOs - da wäre ich mir sogar sicher.
Bitte warten ..
Mitglied: emeriks
11.01.2018 um 14:24 Uhr
Das ist das Selbe von der Funktionalität.
Nein, definitiv nicht!
Das Erzwingen interpretierst Du falsch
Ganz sicher auch nicht. Das fresse ich jeden Tag mit großem Löffel.
- erzwingen ist nur zum durchbrechen von "block inheritance" da.
Nicht nur dafür. Auch zum Verhindern des Übersteuerns höher priorisierter GPO. Nicht umsonst heißt das im ursprünglichen Original "no override", bzw. im Deutschen "kein Vorrang".
Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten.
Ich sage nur Shortcuts erstellen, Drucker verbinden, Passwörter lokaler Benutzer. Letzteres musste komplette raus genommen werden, wenn auch aus anderen Gründen.
Bitte warten ..
Mitglied: DerWoWusste
11.01.2018 um 14:53 Uhr
@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
Bitte warten ..
Mitglied: killtec
11.01.2018 um 15:07 Uhr
Hi,
nein, die sind nicht weg retuschiert.
Ich habe die GP anhand dieses Links erstellt und wundere mich halt nur, warum er nicht das so macht, wie ich es erwarte / gern hätte.
https://blog.proact.de/2014/08/11/lokale-administratorenrechte-per-grupp ...

Selbst wenn ich, wie aktuell, die "Domänen-Admins" mit SID drin stehen habe, passiert da leider nichts.
Bitte warten ..
Mitglied: emeriks
11.01.2018, aktualisiert 12.01.2018
Zitat von DerWoWusste:
@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
Das ist auch solch ein "Feature". Wenn man die GPO wieder öffnet, dann zeigt er die SID nicht mehr an. Ich habe das eben reproduziert.
In der XML ist die SID auch nicht mehr enthalten. lol
Bitte warten ..
Mitglied: DerWoWusste
11.01.2018 um 17:57 Uhr
Bei mir verhält es sich gesund - keine verschwindenden SIDs.
Bitte warten ..
Mitglied: emeriks
12.01.2018 um 08:24 Uhr
Bei mir verhält es sich gesund - keine verschwindenden SIDs.
Das glaube ich Dir sogar voll und ganz. Aber Du kannst jetzt sicher auch nachvollziehen, warum ich von "unzuverlässig" spreche.
Bitte warten ..
Mitglied: DerWoWusste
12.01.2018 um 08:37 Uhr
Nein. Wir haben ja nichts wirklich verglichen, bislang. Und da ich GPPs seit ca. 15 Jahren intensiv einsetze (oder wie lang gibt es das Produkt der Firma schon, die MS dann aufgekauft hat?), kann ich mit Sicherheit sagen, ich kenn mich da ein wenig aus.
Bitte warten ..
Mitglied: killtec
12.01.2018 um 11:45 Uhr
So, als kleine Rückmeldung,
unter der Gruppe Hauptbenutzer packt er die Admin Gruppe rein, bei der Gruppe Administratoren nicht.
Hab auch mal eingestellt, dass die Richtlinie erzwungen ist. Auch ohne Wirkung...

Gruß
Bitte warten ..
Mitglied: DerWoWusste
12.01.2018 um 11:55 Uhr
Habe hier englische Systeme (Server+Client Server 2016 1607, Win10 1703/1709).
Bitte warten ..
Mitglied: killtec
15.01.2018 um 08:05 Uhr
Ein interessantes Detail vielleicht. Er wendet da schon was an, er setzt Beispielsweise den Kommentar den ich test weise gesetzt habe korrekt.
Er fügt halt nur außer dem lokalem Administrator nichts weiter hinzu. Weder meinen Benutzer, noch die Admin-Gruppe.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 15.01.2018 um 09:41 Uhr
Nun, nimm dir ein Testsystem (Spieldomäne) und mach es dort. Oder aber nimm restricted groups, wie empfohlen von emeriks.
Bitte warten ..
Mitglied: killtec
15.01.2018 um 13:09 Uhr
Hi @DerWoWusste,

ich habe jetzt die Kombination drin. Einmal restricted groups und die lokalen Benutzer + Gruppen. Jetzt macht er es.

Danke an euch
Bitte warten ..
Ähnliche Inhalte
Windows Server
Lokaler Benutzer über GPO verteilen
Frage von staybbWindows Server4 Kommentare

Hallo, ich möchte auf einem Server 2012 mit AD DS Dienst und GPO-Richtlinien, eine neue GPO erstellen, welche einen ...

Windows Server
AD GPO lokaler Speicherort
Frage von DieterwillswissenWindows Server4 Kommentare

Hi, gibt es einen lokalen Speicherort für AD GPO? Werden diese auf den lokalen PC kopiert oder nicht? Gruss ...

Windows Server
Lokale Anmeldung GPO - ausgesperrt :-(
gelöst Frage von ITBuxiWindows Server24 Kommentare

Hi, leider habe ich mich scheinbar ausgesperrt. Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, ...

Batch & Shell
Wie kann ich einen Benutzer in die lokale Administratorengruppe einfügen ohne Kenntniss darüber wie die sprachspezifische Gruppe heisst?
Frage von ArminWeinmannBatch & Shell2 Kommentare

Ich stehe vor dem Problem einen Benutzeraccount in die lokale Administratorgruppe einfügen zu müssen. Da diese Gruppe ja in ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 StundeTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 StundeSicherheit4 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 StundenSicherheit2 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 2 StundenSicherheit9 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1027 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen19 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...