Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Administratorrechte entziehen über GPO

Frage Microsoft Windows Server

Mitglied: StripLV

StripLV (Level 1) - Jetzt verbinden

29.05.2012, aktualisiert 14:07 Uhr, 10815 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe hier bei einem Kunden die Situation das jeder User an seinem PC Adminrechte hat.
Wie er die bekommen hat weiß ich nicht aber nicht über eine Gruppenrichtlinie denn wenn ich einen neuen Rechner installiere und der User sich das erste mal anmeldet ist es so wie es sein soll: Er ist Domänen-Benutzer mit den entsprechenden Rechten. Ich finde auch nichts in den GPO´s. Ich vermute mal das der vorherige Systembetreuuer jedem User "manuell" Admin Rechte gegeben hat.

Ich möchte den Usern nun über eine GPO die Lokalen Adminrechte entziehen. Ich habe es auch schon über die "Eingeschränkte Gruppen" Richtlinie unter

Computerkonfiguration-Richtlinien-Windowseinstellungen-Sicherheitsrichtlinien-Eingeschränkt Gruppen

versucht, komme aber nicht weiter.

Wenn ich da eine neue Gruppe hinzufüge und dann unter "diese Gruppe ist Mitglied von" die Gruppe "Domänen-Benutzer" hinzufüge ändert sich nichts.
Aber wahrscheinlich bin ich da falsch.

Kann mir jemand sagen wo ich ansetzten muss?
Anbei ein Screenshot wie es auf den Clients aussieht zum besseren Verständniß.

513aff803f469dfd54f0a8acd13d0285 - Klicke auf das Bild, um es zu vergrößern

Danke.
Mitglied: interneIT
29.05.2012 um 14:29 Uhr
Wie lange sind denn die Rechner schon im AD? Wenn die Rechner vorhin nicht im AD waren und die Benutzer lokale Admins waren, dann werden diese Einstellungen übernommen beim hinzufügen des Rechners in die Domäne. Somit haben die User nachher wieder Admin-Rechte.
Wie man auf dem Screenshot sehen kann, ist ein lokaler User der "Admin" (der wurde manuell erstellt und ist nicht der Windows vordefinierte "Administrator"). Dieser "Admin" ist in der Gruppe Administratoren. Deswegen hat er noch Adminrechte.

Zudem hat der Domänen-User, denn du hinzugefügt hast (der Durchgestrichene) auch lokale Admin-Rechte.
Um dies zu deaktivieren folgende Schritte ausführen:

Auf den User klicken > Eigenschaften > Gruppenmitgliedschaft (Reiter wechseln) > Standardbenutzer

Auf diese Weise hätte dieser User keine Adminrechte mehr
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012, aktualisiert um 14:39 Uhr
Moin.

Du musst Dich an der Stelle der GPO genauer umsehen. Es geht so (hierzu zitiere ich mal Microsoft MVP Laura E. Hunter):
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive: Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive: Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

Du brauchst Ersteres ("destructive"). Dran denken, dass die Domänenadmins als Mitglieder aufgelistet werden müssen.
Bitte warten ..
Mitglied: StripLV
29.05.2012, aktualisiert um 15:12 Uhr
@interneIT: Danke aber das weiß ich. Ich habe aber keine Lust an allen Clients das manuell zu machen. Ich brauche dafür eine GPO.
Bitte warten ..
Mitglied: StripLV
29.05.2012 um 15:24 Uhr
@derwowousste
Danke das hat jetzt geklappt. ALLERDINGS ist jetzt auch der Lokale Admin weg. Also in diesem Beispiel PC017-Admin-Administratoren.

Gibt es eine Möglichkeit diesen Beizubehalten bei allen Clients? Also natürlich auch von PC001, PC002, usw.

Ich dachte eigebtlich das der Lokale ADmin bei der GPO beibehalten wird und sich das nur auf die Domänenkonten bezieht.
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012 um 15:59 Uhr
Mach es, wie beschrieben:
on the Member tab list the users who should be members of that group
->dort ALLE aufzählen, die da rein sollen. Meist sind das nur "administrator" und domänenname\domänen-admins
Bitte warten ..
Ähnliche Inhalte
Windows 10
Ordner (+ Inhalt) Schreibberechtigungen entziehen trotz Administratorrechten
gelöst Frage von Windows11Windows 104 Kommentare

Hallo zusammen, aktuell sind 3 Administratoren Konten auf diesem Rechner gegeben. Diese Rechte sind notwendig, weil bestimmte Software ohne ...

Windows Server
Lokaler Benutzer über GPO verteilen
Frage von staybbWindows Server4 Kommentare

Hallo, ich möchte auf einem Server 2012 mit AD DS Dienst und GPO-Richtlinien, eine neue GPO erstellen, welche einen ...

Windows Server
Lokale Anmeldung GPO - ausgesperrt :-(
gelöst Frage von ITBuxiWindows Server24 Kommentare

Hi, leider habe ich mich scheinbar ausgesperrt. Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, ...

Windows Userverwaltung
Lokale Laufwerksberechtigung via GPO
gelöst Frage von WinWordWindows Userverwaltung42 Kommentare

Hallo Zusammen! Wir verwenden spezielle Messgeräte mit einem angepassten (englischen) Windows XP Embedded welche vorpartitioniert sind. Diese befinden sich ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 56 MinutenInternet1 Kommentar

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 7 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 18 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 20 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...