Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Administratorrechte entziehen über GPO

Frage Microsoft Windows Server

Mitglied: StripLV

StripLV (Level 1) - Jetzt verbinden

29.05.2012, aktualisiert 14:07 Uhr, 10395 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe hier bei einem Kunden die Situation das jeder User an seinem PC Adminrechte hat.
Wie er die bekommen hat weiß ich nicht aber nicht über eine Gruppenrichtlinie denn wenn ich einen neuen Rechner installiere und der User sich das erste mal anmeldet ist es so wie es sein soll: Er ist Domänen-Benutzer mit den entsprechenden Rechten. Ich finde auch nichts in den GPO´s. Ich vermute mal das der vorherige Systembetreuuer jedem User "manuell" Admin Rechte gegeben hat.

Ich möchte den Usern nun über eine GPO die Lokalen Adminrechte entziehen. Ich habe es auch schon über die "Eingeschränkte Gruppen" Richtlinie unter

Computerkonfiguration-Richtlinien-Windowseinstellungen-Sicherheitsrichtlinien-Eingeschränkt Gruppen

versucht, komme aber nicht weiter.

Wenn ich da eine neue Gruppe hinzufüge und dann unter "diese Gruppe ist Mitglied von" die Gruppe "Domänen-Benutzer" hinzufüge ändert sich nichts.
Aber wahrscheinlich bin ich da falsch.

Kann mir jemand sagen wo ich ansetzten muss?
Anbei ein Screenshot wie es auf den Clients aussieht zum besseren Verständniß.

513aff803f469dfd54f0a8acd13d0285 - Klicke auf das Bild, um es zu vergrößern

Danke.
Mitglied: interneIT
29.05.2012 um 14:29 Uhr
Wie lange sind denn die Rechner schon im AD? Wenn die Rechner vorhin nicht im AD waren und die Benutzer lokale Admins waren, dann werden diese Einstellungen übernommen beim hinzufügen des Rechners in die Domäne. Somit haben die User nachher wieder Admin-Rechte.
Wie man auf dem Screenshot sehen kann, ist ein lokaler User der "Admin" (der wurde manuell erstellt und ist nicht der Windows vordefinierte "Administrator"). Dieser "Admin" ist in der Gruppe Administratoren. Deswegen hat er noch Adminrechte.

Zudem hat der Domänen-User, denn du hinzugefügt hast (der Durchgestrichene) auch lokale Admin-Rechte.
Um dies zu deaktivieren folgende Schritte ausführen:

Auf den User klicken > Eigenschaften > Gruppenmitgliedschaft (Reiter wechseln) > Standardbenutzer

Auf diese Weise hätte dieser User keine Adminrechte mehr
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012, aktualisiert um 14:39 Uhr
Moin.

Du musst Dich an der Stelle der GPO genauer umsehen. Es geht so (hierzu zitiere ich mal Microsoft MVP Laura E. Hunter):
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive: Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive: Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

Du brauchst Ersteres ("destructive"). Dran denken, dass die Domänenadmins als Mitglieder aufgelistet werden müssen.
Bitte warten ..
Mitglied: StripLV
29.05.2012, aktualisiert um 15:12 Uhr
@interneIT: Danke aber das weiß ich. Ich habe aber keine Lust an allen Clients das manuell zu machen. Ich brauche dafür eine GPO.
Bitte warten ..
Mitglied: StripLV
29.05.2012 um 15:24 Uhr
@derwowousste
Danke das hat jetzt geklappt. ALLERDINGS ist jetzt auch der Lokale Admin weg. Also in diesem Beispiel PC017-Admin-Administratoren.

Gibt es eine Möglichkeit diesen Beizubehalten bei allen Clients? Also natürlich auch von PC001, PC002, usw.

Ich dachte eigebtlich das der Lokale ADmin bei der GPO beibehalten wird und sich das nur auf die Domänenkonten bezieht.
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012 um 15:59 Uhr
Mach es, wie beschrieben:
on the Member tab list the users who should be members of that group
->dort ALLE aufzählen, die da rein sollen. Meist sind das nur "administrator" und domänenname\domänen-admins
Bitte warten ..
Ähnliche Inhalte
Windows 10
gelöst Ordner (+ Inhalt) Schreibberechtigungen entziehen trotz Administratorrechten (4)

Frage von Windows11 zum Thema Windows 10 ...

Windows Server
Lokaler Benutzer über GPO verteilen (4)

Frage von staybb zum Thema Windows Server ...

Windows 10
gelöst Verschiedene GPO laden, oder Resetten am lokalen Computer (6)

Frage von garack zum Thema Windows 10 ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(3)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
MSA 2050 RAID Konfig (30)

Frage von Leo-le zum Thema SAN, NAS, DAS ...

Microsoft Office
Office Druck fehler (18)

Frage von DaistwasimBusch zum Thema Microsoft Office ...

Festplatten, SSD, Raid
Uninitialisierte Festplatte - Daten retten (11)

Frage von peterla zum Thema Festplatten, SSD, Raid ...

Netzwerkmanagement
Windows Server 2008 R2: "netsh reset" nicht verfügbar? (11)

Frage von RickTucker zum Thema Netzwerkmanagement ...