killtec
Goto Top

GPO - lokale Administratorengruppe

Hallo,
ich möchte per GPO die Lokale Administratorengruppe "aufräumen" / einschränken.
Es soll nur der lokale Benutzer namens Administrator hinzugefügt werden und die Gruppe Domänen-Admins. Alles andere soll raus.

Ich habe jetzt in einer GPO zwei Einträge, der eine aktiviert den lokalen Administrator, das funktioniert auch soweit.
der zweite Eintrag soll die Benutzergruppe "gerade" ziehen. Hier liegt der Fehler / das Problem.

Ich habe hier mal Screenshots von der GPO und von dem Ergebnis gemacht:
gpo1


gpo2


Das Ergebnis sieht dann so aus:
gpo3


Wenn ich Testweise Benutzer in die lokale Gruppe mit aufnehme, werden diese auch wie gewünscht gelöscht.


OS: Windows 7 - 10; Server 2008R2 - 2016

Gruß

Content-Key: 360716

Url: https://administrator.de/contentid/360716

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 11.01.2018 um 12:53:08 Uhr
Goto Top
Teste mit einer anderen Gruppe und schreibe auch den Domänennamen mal hin ohne Variable, falls möglich.
Mitglied: killtec
killtec 11.01.2018 um 12:57:21 Uhr
Goto Top
HI @DerWoWusste,
ich habe das auch schon so getestet, dass ich Domänenname\Domänen-Admins hinzugefügt habe, auch dass er die SID rein geschireben hat, mit den selben Ergebnis.
Mit einer anderen Gruppe müsste ich das nochmal testen.

Gruß
Mitglied: emeriks
Lösung emeriks 11.01.2018 um 13:32:19 Uhr
Goto Top
Hi,
wenn man die Mitgliedschaft einer Gruppe komplette vorgeben will dann ist die Richtilinie "eingeschränkte Gruppen" die viel bessere Wahl. Auch sicherer.
Die GPP für lokale Gruppen und Benutzer eignet sich eher für die Erstellung neue Gruppen/Benutzer oder Bearbeitung derer.

E.
Mitglied: DerWoWusste
DerWoWusste 11.01.2018 um 13:41:46 Uhr
Goto Top
Aha? Und warum besser/sicherer? Das sollte das selbe sein.
Mitglied: emeriks
emeriks 11.01.2018 um 13:58:03 Uhr
Goto Top
Aha? Und warum besser/sicherer? Das sollte das selbe sein.
Mit "sicherer" meine ich hier "zuverlässiger". Die GPP sind Erweiterungen (Client Side Extensions) bei denen immer mal was schief gehen kann und geht.
Weiterhin muss man aufpassen, da diese GPP kummulativ ist. Das kann auch Vorteil sein, je nachdem wie mans braucht.

Bsp. 1
Habe 2 GPO's mit GPP "lokale Benutzer und Gruppen"
eine "oben" an der Domäne verlinkt
die andere "unten" an der OU
Vererbung nicht unterbrochen
beide fügen je einen anderen Benutzer derselben Gruppe hinzu
wenn ich die "obere" GPO erzwinge, weil ich will, dass diese Gruppe genauso ausehen soll, dann wird die "untere" trotzdem noch ausgeführt

Bsp. 2
Habe 2 GPO's mit Richtlinie "eingeschränkte Gruppen"
eine "oben" an der Domäne verlinkt
die andere "unten" an der OU
Vererbung nicht unterbrochen
beide sehen je einen anderen Benutzer in derselben Gruppe als Mitglied vor
wenn ich die "obere" GPO erzwinge, weil ich will, dass diese Gruppe genauso ausehen soll, dann kann die "untere" GPO daran nichts mehr übersteuern

Aber wie gesagt, wie mans braucht.
Mitglied: DerWoWusste
DerWoWusste 11.01.2018 um 14:08:38 Uhr
Goto Top
Das ist das Selbe von der Funktionalität. Das Erzwingen interpretierst Du falsch - erzwingen ist nur zum durchbrechen von "block inheritance" da.
Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten. Da MS diese pusht, werden sie besser getestet als die Equivalente unter den GPOs - da wäre ich mir sogar sicher.
Mitglied: emeriks
emeriks 11.01.2018 um 14:24:07 Uhr
Goto Top
Das ist das Selbe von der Funktionalität.
Nein, definitiv nicht!
Das Erzwingen interpretierst Du falsch
Ganz sicher auch nicht. Das fresse ich jeden Tag mit großem Löffel. face-wink
- erzwingen ist nur zum durchbrechen von "block inheritance" da.
Nicht nur dafür. Auch zum Verhindern des Übersteuerns höher priorisierter GPO. Nicht umsonst heißt das im ursprünglichen Original "no override", bzw. im Deutschen "kein Vorrang".
Zuverlässig sind GPPs ebenso - ich hatte noch keinen Fall, wo die CSEs nicht arbeiteten, wie sie sollten.
Ich sage nur Shortcuts erstellen, Drucker verbinden, Passwörter lokaler Benutzer. Letzteres musste komplette raus genommen werden, wenn auch aus anderen Gründen.
Mitglied: DerWoWusste
DerWoWusste 11.01.2018 um 14:53:24 Uhr
Goto Top
@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
Mitglied: killtec
killtec 11.01.2018 um 15:07:51 Uhr
Goto Top
Hi,
nein, die sind nicht weg retuschiert.
Ich habe die GP anhand dieses Links erstellt und wundere mich halt nur, warum er nicht das so macht, wie ich es erwarte / gern hätte.
https://blog.proact.de/2014/08/11/lokale-administratorenrechte-per-grupp ...

Selbst wenn ich, wie aktuell, die "Domänen-Admins" mit SID drin stehen habe, passiert da leider nichts.
Mitglied: emeriks
emeriks 11.01.2018, aktualisiert am 12.01.2018 um 08:47:55 Uhr
Goto Top
Zitat von @DerWoWusste:
@killtec, warum tauchen in deiner GPP-Einstellung keine SIDs auf? Hast Du die wegretuschiert? Bei mir sehe ich sie und es funktioniert auch alles mit den selbigen Einstellungen. Win10 v1709.
Das ist auch solch ein "Feature". Wenn man die GPO wieder öffnet, dann zeigt er die SID nicht mehr an. Ich habe das eben reproduziert.
In der XML ist die SID auch nicht mehr enthalten. lol
Mitglied: DerWoWusste
DerWoWusste 11.01.2018 um 17:57:26 Uhr
Goto Top
Bei mir verhält es sich gesund - keine verschwindenden SIDs.
Mitglied: emeriks
emeriks 12.01.2018 um 08:24:06 Uhr
Goto Top
Bei mir verhält es sich gesund - keine verschwindenden SIDs.
Das glaube ich Dir sogar voll und ganz. Aber Du kannst jetzt sicher auch nachvollziehen, warum ich von "unzuverlässig" spreche.
Mitglied: DerWoWusste
DerWoWusste 12.01.2018 um 08:37:56 Uhr
Goto Top
Nein. Wir haben ja nichts wirklich verglichen, bislang. Und da ich GPPs seit ca. 15 Jahren intensiv einsetze (oder wie lang gibt es das Produkt der Firma schon, die MS dann aufgekauft hat?), kann ich mit Sicherheit sagen, ich kenn mich da ein wenig aus.
Mitglied: killtec
killtec 12.01.2018 um 11:45:55 Uhr
Goto Top
So, als kleine Rückmeldung,
unter der Gruppe Hauptbenutzer packt er die Admin Gruppe rein, bei der Gruppe Administratoren nicht.
Hab auch mal eingestellt, dass die Richtlinie erzwungen ist. Auch ohne Wirkung...

Gruß
Mitglied: DerWoWusste
DerWoWusste 12.01.2018 um 11:55:23 Uhr
Goto Top
Habe hier englische Systeme (Server+Client Server 2016 1607, Win10 1703/1709).
Mitglied: killtec
killtec 15.01.2018 um 08:05:08 Uhr
Goto Top
Ein interessantes Detail vielleicht. Er wendet da schon was an, er setzt Beispielsweise den Kommentar den ich test weise gesetzt habe korrekt.
Er fügt halt nur außer dem lokalem Administrator nichts weiter hinzu. Weder meinen Benutzer, noch die Admin-Gruppe.
Mitglied: DerWoWusste
Lösung DerWoWusste 15.01.2018 um 09:41:26 Uhr
Goto Top
Nun, nimm dir ein Testsystem (Spieldomäne) und mach es dort. Oder aber nimm restricted groups, wie empfohlen von emeriks.
Mitglied: killtec
killtec 15.01.2018 um 13:09:51 Uhr
Goto Top
Hi @DerWoWusste,

ich habe jetzt die Kombination drin. Einmal restricted groups und die lokalen Benutzer + Gruppen. Jetzt macht er es.

Danke an euch face-smile