Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Administratorrechte entziehen über GPO

Frage Microsoft Windows Server

Mitglied: StripLV

StripLV (Level 1) - Jetzt verbinden

29.05.2012, aktualisiert 14:07 Uhr, 9335 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe hier bei einem Kunden die Situation das jeder User an seinem PC Adminrechte hat.
Wie er die bekommen hat weiß ich nicht aber nicht über eine Gruppenrichtlinie denn wenn ich einen neuen Rechner installiere und der User sich das erste mal anmeldet ist es so wie es sein soll: Er ist Domänen-Benutzer mit den entsprechenden Rechten. Ich finde auch nichts in den GPO´s. Ich vermute mal das der vorherige Systembetreuuer jedem User "manuell" Admin Rechte gegeben hat.

Ich möchte den Usern nun über eine GPO die Lokalen Adminrechte entziehen. Ich habe es auch schon über die "Eingeschränkte Gruppen" Richtlinie unter

Computerkonfiguration-Richtlinien-Windowseinstellungen-Sicherheitsrichtlinien-Eingeschränkt Gruppen

versucht, komme aber nicht weiter.

Wenn ich da eine neue Gruppe hinzufüge und dann unter "diese Gruppe ist Mitglied von" die Gruppe "Domänen-Benutzer" hinzufüge ändert sich nichts.
Aber wahrscheinlich bin ich da falsch.

Kann mir jemand sagen wo ich ansetzten muss?
Anbei ein Screenshot wie es auf den Clients aussieht zum besseren Verständniß.

513aff803f469dfd54f0a8acd13d0285 - Klicke auf das Bild, um es zu vergrößern

Danke.
Mitglied: interneIT
29.05.2012 um 14:29 Uhr
Wie lange sind denn die Rechner schon im AD? Wenn die Rechner vorhin nicht im AD waren und die Benutzer lokale Admins waren, dann werden diese Einstellungen übernommen beim hinzufügen des Rechners in die Domäne. Somit haben die User nachher wieder Admin-Rechte.
Wie man auf dem Screenshot sehen kann, ist ein lokaler User der "Admin" (der wurde manuell erstellt und ist nicht der Windows vordefinierte "Administrator"). Dieser "Admin" ist in der Gruppe Administratoren. Deswegen hat er noch Adminrechte.

Zudem hat der Domänen-User, denn du hinzugefügt hast (der Durchgestrichene) auch lokale Admin-Rechte.
Um dies zu deaktivieren folgende Schritte ausführen:

Auf den User klicken > Eigenschaften > Gruppenmitgliedschaft (Reiter wechseln) > Standardbenutzer

Auf diese Weise hätte dieser User keine Adminrechte mehr
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012, aktualisiert um 14:39 Uhr
Moin.

Du musst Dich an der Stelle der GPO genauer umsehen. Es geht so (hierzu zitiere ich mal Microsoft MVP Laura E. Hunter):
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive: Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive: Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

Du brauchst Ersteres ("destructive"). Dran denken, dass die Domänenadmins als Mitglieder aufgelistet werden müssen.
Bitte warten ..
Mitglied: StripLV
29.05.2012, aktualisiert um 15:12 Uhr
@interneIT: Danke aber das weiß ich. Ich habe aber keine Lust an allen Clients das manuell zu machen. Ich brauche dafür eine GPO.
Bitte warten ..
Mitglied: StripLV
29.05.2012 um 15:24 Uhr
@derwowousste
Danke das hat jetzt geklappt. ALLERDINGS ist jetzt auch der Lokale Admin weg. Also in diesem Beispiel PC017-Admin-Administratoren.

Gibt es eine Möglichkeit diesen Beizubehalten bei allen Clients? Also natürlich auch von PC001, PC002, usw.

Ich dachte eigebtlich das der Lokale ADmin bei der GPO beibehalten wird und sich das nur auf die Domänenkonten bezieht.
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012 um 15:59 Uhr
Mach es, wie beschrieben:
on the Member tab list the users who should be members of that group
->dort ALLE aufzählen, die da rein sollen. Meist sind das nur "administrator" und domänenname\domänen-admins
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Userverwaltung
gelöst Lokale Laufwerksberechtigung via GPO (42)

Frage von WinWord zum Thema Windows Userverwaltung ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows Userverwaltung
gelöst Dom Admins die Rechte per GPO entziehen sich zu Org Enterpriseadmins hochzustufen (3)

Frage von vinevg zum Thema Windows Userverwaltung ...

Windows Server
GPO - Lokale Gruppe mit immer gleichen SID (6)

Frage von fluluk zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...