Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Administratorrechte entziehen über GPO

Frage Microsoft Windows Server

Mitglied: StripLV

StripLV (Level 1) - Jetzt verbinden

29.05.2012, aktualisiert 14:07 Uhr, 10077 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe hier bei einem Kunden die Situation das jeder User an seinem PC Adminrechte hat.
Wie er die bekommen hat weiß ich nicht aber nicht über eine Gruppenrichtlinie denn wenn ich einen neuen Rechner installiere und der User sich das erste mal anmeldet ist es so wie es sein soll: Er ist Domänen-Benutzer mit den entsprechenden Rechten. Ich finde auch nichts in den GPO´s. Ich vermute mal das der vorherige Systembetreuuer jedem User "manuell" Admin Rechte gegeben hat.

Ich möchte den Usern nun über eine GPO die Lokalen Adminrechte entziehen. Ich habe es auch schon über die "Eingeschränkte Gruppen" Richtlinie unter

Computerkonfiguration-Richtlinien-Windowseinstellungen-Sicherheitsrichtlinien-Eingeschränkt Gruppen

versucht, komme aber nicht weiter.

Wenn ich da eine neue Gruppe hinzufüge und dann unter "diese Gruppe ist Mitglied von" die Gruppe "Domänen-Benutzer" hinzufüge ändert sich nichts.
Aber wahrscheinlich bin ich da falsch.

Kann mir jemand sagen wo ich ansetzten muss?
Anbei ein Screenshot wie es auf den Clients aussieht zum besseren Verständniß.

513aff803f469dfd54f0a8acd13d0285 - Klicke auf das Bild, um es zu vergrößern

Danke.
Mitglied: interneIT
29.05.2012 um 14:29 Uhr
Wie lange sind denn die Rechner schon im AD? Wenn die Rechner vorhin nicht im AD waren und die Benutzer lokale Admins waren, dann werden diese Einstellungen übernommen beim hinzufügen des Rechners in die Domäne. Somit haben die User nachher wieder Admin-Rechte.
Wie man auf dem Screenshot sehen kann, ist ein lokaler User der "Admin" (der wurde manuell erstellt und ist nicht der Windows vordefinierte "Administrator"). Dieser "Admin" ist in der Gruppe Administratoren. Deswegen hat er noch Adminrechte.

Zudem hat der Domänen-User, denn du hinzugefügt hast (der Durchgestrichene) auch lokale Admin-Rechte.
Um dies zu deaktivieren folgende Schritte ausführen:

Auf den User klicken > Eigenschaften > Gruppenmitgliedschaft (Reiter wechseln) > Standardbenutzer

Auf diese Weise hätte dieser User keine Adminrechte mehr
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012, aktualisiert um 14:39 Uhr
Moin.

Du musst Dich an der Stelle der GPO genauer umsehen. Es geht so (hierzu zitiere ich mal Microsoft MVP Laura E. Hunter):
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive: Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive: Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

Du brauchst Ersteres ("destructive"). Dran denken, dass die Domänenadmins als Mitglieder aufgelistet werden müssen.
Bitte warten ..
Mitglied: StripLV
29.05.2012, aktualisiert um 15:12 Uhr
@interneIT: Danke aber das weiß ich. Ich habe aber keine Lust an allen Clients das manuell zu machen. Ich brauche dafür eine GPO.
Bitte warten ..
Mitglied: StripLV
29.05.2012 um 15:24 Uhr
@derwowousste
Danke das hat jetzt geklappt. ALLERDINGS ist jetzt auch der Lokale Admin weg. Also in diesem Beispiel PC017-Admin-Administratoren.

Gibt es eine Möglichkeit diesen Beizubehalten bei allen Clients? Also natürlich auch von PC001, PC002, usw.

Ich dachte eigebtlich das der Lokale ADmin bei der GPO beibehalten wird und sich das nur auf die Domänenkonten bezieht.
Bitte warten ..
Mitglied: DerWoWusste
29.05.2012 um 15:59 Uhr
Mach es, wie beschrieben:
on the Member tab list the users who should be members of that group
->dort ALLE aufzählen, die da rein sollen. Meist sind das nur "administrator" und domänenname\domänen-admins
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Lokale Adminrechte per GPO Funktioniert nicht! (AD) (5)

Frage von firevegeta zum Thema Windows Server ...

Microsoft
gelöst Lokale Intranet Site im IE wird nicht über GPO hinzugefügt (1)

Frage von Hanuta zum Thema Microsoft ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows Server
GPO - UAC: "Als Administrator ausführen" soll Abfrage bringen (4)

Frage von MissJones zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (33)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...

Netzwerke
VPN-Server einrichten PPTPD-Einrichtung gescheitert (14)

Frage von MIlexx zum Thema Netzwerke ...