Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppe der Domänenbenutzer aus den lokalen Administratoren entfernen

Frage Microsoft Windows Server

Mitglied: MisterIX

MisterIX (Level 1) - Jetzt verbinden

07.08.2009, aktualisiert 15:17 Uhr, 10487 Aufrufe, 8 Kommentare

Bei einigen Rechnern wurde die Gruppe der Domänenbenutzer den lokalen Administratoren hinzugefügt. Ist ja auch praktisch, kann ja jeder installieren was er will. Da man so aber auch die Administrativen Freigaben nutzen kann, suche ich nach einer eleganten Methode die Gruppe Domänenbenutzer aus allen lokalen Administratorgruppen zu entfernen.

Hat vielleicht jemand eine Idee z.B. GPO, Kix-Skript, sonstiges ?
Mitglied: DerWoWusste
07.08.2009 um 16:11 Uhr
Dazu gibt es eine Funktion in den GPOs, genannt "restricted groups" (=eingeschränkte Gruppen). Aber informier Dich zunächst genau, sonst putzt Du noch versehentlich alle Admins inklusive Domänenadmin aus der Gruppe ;)
Bitte warten ..
Mitglied: MisterIX
07.08.2009 um 16:29 Uhr
Ok,

das sehe ich mir mal an. Zunächst lösche ich ersteinmal die administrativen Freigaben auf den Workstations. Es gibt auch einen Registryeintrag der verhindert, das sie von alleine wieder hergestellt werden.

Danke für Deine Hilfe.
Bitte warten ..
Mitglied: DerWoWusste
07.08.2009 um 16:37 Uhr
Zunächst lösche ich ersteinmal die administrativen Freigaben auf den Workstations
Um Gottes Willen. Mach das bloß nicht. Diese, gerade admin$, werden von diversen Mechanismen wie zum Beispiel remote-installationen benötigt.
Entfern die Admins, das reicht.
Bitte warten ..
Mitglied: MisterIX
11.08.2009 um 10:41 Uhr
Naja, es hat auch nicht viel geholfen, da man als Administrator die Freigaben ja selbst wieder einrichten kann. Daher habe ich jetzt erst einmal die Gruppenrichtlinie "Zugriff vom Netzwerk auf diesen Computer verweigern" aktiviert und die Gruppe der Domänenbenutzer hinzugefügt. So kann erst einmal niemand mehr auf anderer Laufwerke zugreifen. Die Richtlinie gilt natürlich nicht für die Server, aber da kommt auch niemand auf die administrativen Freigaben.

Seltsam war allerdings folgendes: Auf einigen Rechnern habe ich die Domänenbenutzer schon aus den Administratoren rausgeworfen, sie sind aber von alleine wieder aufgetaucht. Unsere Firewalls sind recht gut, und ich glaube bisher nicht an einen Hackerangriff. So etwas wäre ja normalerweise genau so ein Fall für restricted Groups (oder eher genau nicht). Ich habe aber alle GPOs überprüft und keine eingerichteten restricted Groups gefunden. Kann es sein, dass mal jemand mit den restricted Groups rumexperimentiert hat, die Richtlinie aber nicht vollständig gelöscht wurde (Richtlinien Zwischenspeicherung oder ähnliches ?)
Bitte warten ..
Mitglied: DerWoWusste
11.08.2009 um 12:58 Uhr
Im Zweifelsfall lass Dir mit rsop.msc am Client selbst oder über die GPMC im Bereich Group Policy Results anzeigen, welche Richtlinien greifen.
Bitte warten ..
Mitglied: MisterIX
11.08.2009 um 14:29 Uhr
Ok, ich habe mir mit rsop.msc anzeigen lassen, welche Gruppenrichtlinien greifen. Tatsächlich werden mir unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen Die Domänen-Admins sowie die Domänen-Benutzer angezeigt.

Der Ordner \ Schlüssel ist mit einem Schloss gekennzeichnet (nicht veränderbar ?). Als Quell Gruppenrichtlinie wird der CLientRechner ausfindig gemacht. Man beachte das große L. Ist das bei Dir auch so ?
Bitte warten ..
Mitglied: DerWoWusste
11.08.2009 um 15:13 Uhr
Nee, ist bei mir nicht so. Automatisch bei der Domänenaufnahme werden Domänenadmins nach lokale Admins und Domänenuser nach lokale User gepackt.
Das große L...tja, was soll das nun?
Es bedeutet wohl, dass auf den PCs eine (Domänen- und nicht etwa lokale!) GPO zur Anwendung kommt, die CLientRechner heißt. Such nach dieser im Active Directory und deaktivier sie/pass sie an.
Bitte warten ..
Mitglied: MisterIX
11.08.2009 um 15:39 Uhr
Danke, genau das war es. Ich hatte die Domänen GPO übersehen. Da hatte doch tatsächlich jemand die Domänen-Benutzer über eingeschränkte Gruppen zu lokalen Admins gemacht. Ich meine bei einem Messplatzrechner, wo die Software ohne Adminberechtigungen nicht läuft, da habe ich ja Verständnis. Aber einfach alle Domänenbenutzer überall zu lokalen Admins zu machen... Manche meiner Vorgänger in diesem Netzwerk gehören offenbar geteert und gefedert.

Vielen Dank für Deine Hilfe!
Bitte warten ..
Ähnliche Inhalte
Windows 10
Domänenbenutzer lokale Adminrechte (Domäne fehlt in Suchpfad)
Beitrag von 7 Kommentare

Frage von it-fraggle zum Thema Windows 10

Windows Server
Administrative Freigaben für andere Benutzer aus der Gruppe Administratoren
Beitrag von 7 Kommentare

Frage von bluepython zum Thema Windows Server

Ubuntu
Ubuntu 16.04 LDAP USER-GRUPPEN und lokale Gruppen Berechtigungen
Beitrag von 8 Kommentare

Frage von adm2015 zum Thema Ubuntu

Windows Userverwaltung
Lokalen Administrator über das Netzwerk verteilen
Beitrag von 7 Kommentare

Frage von M.Marz zum Thema Windows Userverwaltung

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Beitrag von 4 Kommentare

Anleitung von colinardo zum Thema MikroTik RouterOS

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Beitrag von

Information von BassFishFox zum Thema Sicherheit

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Beitrag von 5 Kommentare

Information von admtech zum Thema Administrator.de Feedback

Vmware

VMware Desktopprodukte sind verwundbar

Beitrag von

Information von Penny.Cilin zum Thema Vmware

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Beitrag von 24 Kommentare

Frage von ahstax zum Thema Visual Studio

Windows Server
RDP macht Server schneller???
Beitrag von 16 Kommentare

Frage von JaniDJ zum Thema Windows Server

Windows Netzwerk
Netzwerk Neustrukturierung
Beitrag von 16 Kommentare

Frage von IT-Dreamer zum Thema Windows Netzwerk

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Beitrag von 15 Kommentare

Frage von Akcent zum Thema Windows 10