10
Mitglieder der lokalen Administratoren haben keine Berechtigungen
Hallo,
ich vergebe lokale Administratorenrechte per Gruppenrichtlinie über eingeschränkten Gruppen. Eine im AD angelegte Gruppe wird auf jedem Rechner in der Gruppe der lokalen Administratoren angelegt.
Leider ist es nun so, dass Mitglieder dieser AD Gruppe trotzdem keine lokalen Administratorrrechte haben. Dazu bräuchte ich mal Hilfe um das Problem zu beheben. Ich habe extra einen Testuser erstellt, der nur un der AD Gruppe ist und bei dem keine anderen Einschränkungen greifen. Trotzdem ist er anscheinend kein lokaler Admin.
ich vergebe lokale Administratorenrechte per Gruppenrichtlinie über eingeschränkten Gruppen. Eine im AD angelegte Gruppe wird auf jedem Rechner in der Gruppe der lokalen Administratoren angelegt.
Leider ist es nun so, dass Mitglieder dieser AD Gruppe trotzdem keine lokalen Administratorrrechte haben. Dazu bräuchte ich mal Hilfe um das Problem zu beheben. Ich habe extra einen Testuser erstellt, der nur un der AD Gruppe ist und bei dem keine anderen Einschränkungen greifen. Trotzdem ist er anscheinend kein lokaler Admin.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299892
Url: https://administrator.de/contentid/299892
Printed on: April 18, 2024 at 23:04 o'clock
10 Comments
Latest comment
Hallo,
und wenn der Benutzer spaßeshalber direkt in der lokalen Gruppe hinzugefügt wird, ohne Umweg über eine Gruppe, geht es dann?
Ist berücksichtig worden, das die Gruppe der Domänen-Admins neu hinzugefügt werden muss, da die GPO Einstellungen vorhandene Einstellungen überschreiben?
Wie schaut die Mitgliedschaft auf dem Client aus?
Zieht der Client auch die GPO?
Gruß
Chonta
und wenn der Benutzer spaßeshalber direkt in der lokalen Gruppe hinzugefügt wird, ohne Umweg über eine Gruppe, geht es dann?
Ist berücksichtig worden, das die Gruppe der Domänen-Admins neu hinzugefügt werden muss, da die GPO Einstellungen vorhandene Einstellungen überschreiben?
Wie schaut die Mitgliedschaft auf dem Client aus?
Zieht der Client auch die GPO?
Gruß
Chonta
Hi,
Beachte: Wenn UAC aktiviert ist, dann musst Du u.U. ein Programm explizit "als Administrator ausführen", damit die Berechtigungen, welche über DIE lokale Gruppe "Administratoren" erteilt sind, wirksam werden.
E.
Trotzdem ist er anscheinend kein lokaler Admin.
Woran stellst Du das fest?Beachte: Wenn UAC aktiviert ist, dann musst Du u.U. ein Programm explizit "als Administrator ausführen", damit die Berechtigungen, welche über DIE lokale Gruppe "Administratoren" erteilt sind, wirksam werden.
E.
Und nach dem Hinzufügen des Users zur Gruppe diesen unbedingt ab- und neu anmelden, sonst hat er die Gruppe nicht in seinem Zugriffs-Token.
Gruß jodel32
Gruß jodel32
In den eingeschränkten Gruppen wurden auch die Domänen Admins aufgenommen und alle zuvor lokal vorhandenen Gruppen.
Die Mitgliedschaft auf dem Client ist in O.K. Die AD-Gruppe ist in den lokalen Admins vorhanden.
Die Mitgliedschaft auf dem Client ist in O.K. Die AD-Gruppe ist in den lokalen Admins vorhanden.
Ich stelle das daran fest, da der User unter Anderem nicht auf Laufwerk C speichern kann.
Habe ich so gemacht.
Das mit auf C: Speichern ist kein beweis, das verhindert die UAC auch bei einem Admin.
Ein besserer Test ist Rechtsklick => "Als Administrator ausführen" bei irgend einem Programm z. B. calc.exe
Ein besserer Test ist Rechtsklick => "Als Administrator ausführen" bei irgend einem Programm z. B. calc.exe
UAC verhindert ein Speichern auf C? Installation von Programmen war auch nicht möglich. "Sie benötigen lokale Administratorrechte". UAC ist auf dem Rechner jedenfalls an.
Weist du überhaupt, was Windows (und in welcher Version) für Beschränkungen für Administratoren hat?
Vista:
Administratoren arbeiten mit Benutzer Rechten. Werden Administrative Rechte benötigt, müssen diese mit "Ja" bestätigt werden, falls der Benutzer Mitglied der Gruppe "Administratoren" ist. Andernfalls müssen Benutzername und Kennwort eingegeben werden.
Beim Deaktivieren gleiches verhalten wie bei XP, alle Anwendungen werden mit Administrator Rechten (bzw. dem Token) gestartet.
Beim Zugriff über Netzwerk, wird das Administrator Token entfernt, selbst wenn der Benutzer Lokaler Administrator ist (Nur bei Lokalen Benutzern),
Windows 7:
Das gleiche wie bei Vista, jedoch standardmäßig nur bei nicht Systemanwendungen. (Aufgrund möglicher Sicherheitslücken und diverser Sicherheitslücken, setze ich diesen Regler immer auf alles Bestätigen)
Windows 8:
Beim Deaktivieren werden Anwendungen immer noch ohne Administrative Rechte gestartet. Jedoch ist die Meldung deaktiviert, dadurch werden nur Anwendungen, die beim Start Administrative Rechte anfordern mit diesen gestartet. Dadurch wird auch das gegenteil erreicht, alle Anwendungen die dies nicht anfordern erhalten keine Administrativen Rechte (z. B. Internet Explorer). Für den Internet Explorer gibt es einen weiteren Modus mit noch weiter eingeschränkten Berechtigungen (gab es diesen schon unter Win 7?)
Das Speichern direkt unter C: ist nur Administratoren (bzw. Benutzern mit Administrator Token) erlaubt. Und ohne UAC-Bestätigung ist jedes mitglied der Gruppe Administratoren nur ein normaler Benutzer => Keine Berechtigung. Wenn z. B. Notepad mit Rechtsklick => "Als Administrator ausführen" gestartet wurde, ist es deshalb möglich. Normale Benutzer haben nur das Recht Ordner im Root-Verzeichnis einer Partition zu erstellen.
Vista:
Administratoren arbeiten mit Benutzer Rechten. Werden Administrative Rechte benötigt, müssen diese mit "Ja" bestätigt werden, falls der Benutzer Mitglied der Gruppe "Administratoren" ist. Andernfalls müssen Benutzername und Kennwort eingegeben werden.
Beim Deaktivieren gleiches verhalten wie bei XP, alle Anwendungen werden mit Administrator Rechten (bzw. dem Token) gestartet.
Beim Zugriff über Netzwerk, wird das Administrator Token entfernt, selbst wenn der Benutzer Lokaler Administrator ist (Nur bei Lokalen Benutzern),
Windows 7:
Das gleiche wie bei Vista, jedoch standardmäßig nur bei nicht Systemanwendungen. (Aufgrund möglicher Sicherheitslücken und diverser Sicherheitslücken, setze ich diesen Regler immer auf alles Bestätigen)
Windows 8:
Beim Deaktivieren werden Anwendungen immer noch ohne Administrative Rechte gestartet. Jedoch ist die Meldung deaktiviert, dadurch werden nur Anwendungen, die beim Start Administrative Rechte anfordern mit diesen gestartet. Dadurch wird auch das gegenteil erreicht, alle Anwendungen die dies nicht anfordern erhalten keine Administrativen Rechte (z. B. Internet Explorer). Für den Internet Explorer gibt es einen weiteren Modus mit noch weiter eingeschränkten Berechtigungen (gab es diesen schon unter Win 7?)
Das Speichern direkt unter C: ist nur Administratoren (bzw. Benutzern mit Administrator Token) erlaubt. Und ohne UAC-Bestätigung ist jedes mitglied der Gruppe Administratoren nur ein normaler Benutzer => Keine Berechtigung. Wenn z. B. Notepad mit Rechtsklick => "Als Administrator ausführen" gestartet wurde, ist es deshalb möglich. Normale Benutzer haben nur das Recht Ordner im Root-Verzeichnis einer Partition zu erstellen.
Wenn Du "gpresult /r" ausführst, dann bekommst Du u.a. die aktuelle Gruppenmitgliedschaft des Benutzers angezeigt. Taucht dort die Gruppe der lokalen Administratoren überhaupt auf?
Wenn nein, dann dem Hinweis von @Chonta folgen: Wird die GPO überhaupt vom Client angewendet?
Wenn nein, dann dem Hinweis von @Chonta folgen: Wird die GPO überhaupt vom Client angewendet?
