Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mitglieder der lokalen Benutzer und Gruppen über GPO ändern

Frage Microsoft Windows Userverwaltung

Mitglied: moses-south

moses-south (Level 1) - Jetzt verbinden

11.02.2015, aktualisiert 07:18 Uhr, 1556 Aufrufe, 5 Kommentare, 1 Danke

Einen wunderschönen guten Morgen zusammen

Erst mal ein herzliches Willkommen und danke für eure bisherige Unterstützung, anhand der Fragen die mir beantwortet wurden, ohne sie zu stellen

Es geht um ein Netzwerk mit folgender Einrichtung:
- Windows Server SBS 2008 (Jeweils 1 DC, 1 SQL, 1 Terminal und 1 Print)
- Windows 7 SP1 Clients
- ca. 75 User (2010: 20 User)
- Konzept für Umstellung ist bereits in Arbeit

Folgendes Problem / Frage:
Leider wurde bei der Installation der Clients häufig die Gruppe "Domänen-Benutzer" in die Gruppe der Administratoren aufgenommen. Das war Anfang 2010 und damals war es auch so gewollt von der GL. Da wir in letzter Zeit vermehrt Probleme mit Spam, Viren, Trojanern und Toolbars haben, dachte ich mir, kein Problem, ab in die Gruppenrichtlinien und auf den Clients die Zuordnung der Lokalen Gruppe ändern.
Soweit so gut. Dann kommt jedoch folgende Kuriosität:
9ed6f5522bfd35b353c5b565e6f3c6d9 - Klicke auf das Bild, um es zu vergrößern

Die Aktion der Eigenschaften der Gruppe "Domänen-Admins" nennt sich "Aus der Gruppe entfernen", die Aktion in der Übersicht jedoch "ADD". Im Gegensatz dazu "Dieser Gruppe hinzufügen" für zu "REMOVE" in der Übersicht.

Jetzt bin ich ziemlich irritiert, weil ich nicht weis was genau die richtige Einstellung ist. Ich möchte ja nicht, dass plötzlich die Administratoren keinen Zugriff mehr haben.

Ist das eine Besonderheit von SBS 2008? Und was ist die richtige Einstellung?

Und noch eine Frage am Rande, was sind eure Kriterien, welches GPO ihr verwendet?

Wäre über eure Hilfe Dankbar.

Grüsse
Mitglied: emeriks
LÖSUNG 11.02.2015, aktualisiert 18.02.2015
Hi,
das ist einer der Gründe, warum ich mich bei manchen Einstellungen der GPP auch zurückhalte.
Wir steuern bei uns die lokalen Gruppen immer noch über die klassischen GPO.

Computereinstellungen - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - eingeschränkte Gruppen

Man muss da zwar beachten, dass diese Richtlinie nicht addititv wirkt, sondern immer nur die Einstellung der "gewinnenden" GPO. Das heißt, Du kannst nicht zwei GPO auf einen Computer wirken lassen, die eine trägt "Hans" ein und die andere "Peter" und am Ende sind beide drin. Das geht nicht.
Aber wir machen das schon seit vielen Jahren so. Mittels klassischer GPO-Vererbungsregeln haben wir dann auch die Aussnahmen bedient bekommen. Das ganze ist logisch und funktioniert zuverlässig.

E.
Bitte warten ..
Mitglied: Andinistrator1
11.02.2015 um 08:52 Uhr
Hallo moses-south,

SBS2008 kann ich nicht helfen, jedoch meine Standardkriterien:

Für jeden Server richte ich min. 3 AD Gruppen ein und verteile diese in die Servergrupen, z.B.

Computerverwaltung > lokale Benutzer und Gruppen > Gruppen

Servername_Administratoren
Servername_Benutzer
Servername_Remotedesktopbenutzer

Obwohl in die unteren beiden Gruppen die gleichen User reinkommen, trenne ich es (vorsorglich). In die Gruppen packe ich NIE einzelne User oder "Domain Users" (den Salat darfst du jetzt ausbaden), nur die vom System vergeben wurden.

Bevor du also etwas löschst, empfehle ich dir wie oben vorzugehen, die Gruppe "Domain Users" erst entfernen, wenn du alle User in die Gruppe(n) gepackt hast. Pack einfach mal alle User rein, die sind ja jetzt auch schon drin durch den Gruppe "Domain Users".

Das Konzept funktioniert seit AD 2003 noch immer.

Der User muss sich vollständig ab-/anmelden, über CMD "gpresult /r" kannst du prüfen ob die GPO gezogen wurde.
Bitte warten ..
Mitglied: moses-south
11.02.2015 um 17:20 Uhr
Danke schon mal für eure Anregungen. Habe ich mir notiert, wenn es darum geht, das (Grob-)Konzept zu verfeinern.

@emeriks
Das klingt sehr interessant, scheitert in der aktuellen Situation jedoch daran, dass die "Domänen-User" bereits in der lokalen Administratoren-Gruppe drinnen sind, oder?


@Andinistrator1
So in etwa habe ich es für die Server auch umgesetzt. Speziell für den TRM. Die weitere Aufteilung kommt dann wenn die neue Umgebung steht. Ich werde so wenig wie möglich aus der alten Umgebung mitnehmen, was Rechte und Gruppen betrifft.
Zitat von Andinistrator1: (den Salat darfst du jetzt ausbaden)
Das ist aber noch mehr als freundlich ausgedrückt
Kommt davon wenn innerhalb von 4.5 Jahren ein kleinstKMU zu einem industriellen Unternehmen anwächst, die IT-Struktur aber stehen bleibt.
Immerhin gibt es eine verbindliche IT-Richtlinie... seit 6 Monaten

Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...

Grüssle
moses-south
Bitte warten ..
Mitglied: emeriks
LÖSUNG 11.02.2015, aktualisiert 18.02.2015
Ich habe mich jetzt mal auf die Bezeichnung in der Übersicht, sprich "ADD" verlassen, dass hat auch soweit
funktioniert... Auch dank gpresult /r ohne aus dem Büro zu gehen...
Wahrscheinlich hat da einfach jemand bei MS beim Verknüpfen geschlafen...

Na, in Mathe ist
x + (-1) = x - 1

Also ein "Entfernen" hinzufügen.



E.
Bitte warten ..
Mitglied: moses-south
18.02.2015 um 08:38 Uhr
Es hat inzwischen wirklich funktioniert mit "entfernen" um ein "ADD" zu erreichen

Danke auch für die Ideen für meine nächste Mamautaufgabe:
Der GL erklären wie die zukünftige Domäne aussehen wird...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Word 2010 : Absatz - Abstand per GPO ändern (3)

Frage von johanna-p zum Thema Windows Server ...

Windows Server
gelöst GPO Software Deployment Pfade ändern (6)

Frage von Cloudy zum Thema Windows Server ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows 7
AD-Benutzer einer Lokalen Gruppe hinzufügen(16Bit OU) (3)

Frage von WIZARDBOY zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...