mactru
Goto Top

Usern lokale Adminrechte auf bestimmten Clients per GPO geben

Hallo zusammen,
ich möchte allen Usern lokale Adminrechte per GPO zuweises. Dazu habe ich eine Gruppe lokaleAdmins erstellt. Ich habe die Fuktion:

Computerkonfiguration/Sicherheitseinstellungen/Eingeschränkte Gruppen

benutzt um die Adminrechte zuweisen zu lassen. Leider haben dadurch die User auf allen Clients, auf die die GPO greift lokale Adminrechte. Allerdings sollen die User nur auf ihren eigenen Clients die Adminrechte erhalten. Vielleicht weiß jemand eine Löseung

Vielen Dank schon mal und viele Grüße
Mac

Content-Key: 157271

Url: https://administrator.de/contentid/157271

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Xaero1982
Xaero1982 19.12.2010 um 23:58:41 Uhr
Goto Top
Moin,

dann musst du diese Rechner in eine separate OU schieben, ansonsten greift dieses GPO auf alle Rechner in dieser OU.

VG
Mitglied: Logan000
Logan000 20.12.2010 um 08:24:09 Uhr
Goto Top
Moin Moin

Oder du gibst das Recht "Gruppenrichtlinie Übernehmen" von den Autentifizierten Usern an eine Gruppe (oder den einen PC) weiter.

Ein Hinweis noch:
Die Einstellung "Eingeschränkte Gruppen" ersetzt komplett die vorhandenen Konfiguration!
Kann schnell nach hinten losgehen.

Gruß L.
Mitglied: Mactru
Mactru 21.12.2010 um 00:02:27 Uhr
Goto Top
Leider handelt es sich nicht um nur einen PC. Sondern alle. Die User sollen nur auf ihren eigenen PC lokale Adminrechte erhalten. Allerdings dürfen sie keine Domainadminrechte haben. Die darf nur ein bestimmter User haben. Bis jetzt wurde das immer an jeden PC manuell gemacht. Ich wüsste nur gerne ob das auch per GPO geht.

Viele Grüße
Mac
Mitglied: Logan000
Logan000 21.12.2010 um 11:27:28 Uhr
Goto Top
Moin

Ich wüsste nur gerne ob das auch per GPO geht.
Ja schon. Allerdings benötigst du dann eine GPO Pro User bzw. PC.

Wir haben bei uns für den seltenen Fall, das Anwender mal lokale Adminrechte erhalten sollen per "Eingeschränkte Gruppen" eine Domänen gruppe zu der gruppe der lokalen Administratoren hinzugefügt.
Um einem User lokale Adminrechte zu geben, schubsen wir ihn in diese Gruppe (und hinterher auch wieder heraus).
Natürlich hätte der Anwender dann auf allen Clients Lokale Admin rechte.
Darin sehe ich aber kein Problem, denn wenn ich nicht vertreten kann das jemand Adminrechte auf allen Clients bekommt, dann gebe ich ihm keine.

Ich (an deiner Stelle) würde mich fragen, warum sollen alle User Lokale Administratoren werden?

Gruß L.
Mitglied: Mactru
Mactru 21.12.2010 um 12:55:16 Uhr
Goto Top
OK, vielen Dank für deine Antwort. Ich hatte mir das so eigentlich schon gedacht und wollte eine Bestätigung haben. So lange arbeite ich nämlich noch nicht mit GPOs und mir fehlt da etwas die Erfahrung.
Es ist eine gute Frage warum alle lokale Adminrechte haben sollen. Einfache Antwort: Der Chef möchte es so face-smile
Es kommt wohl hier da mal vor, dass sich die User was installieren müssen. Es handelt sich hier um Programmierer und Entwickler. Deshalb haben sie alle an ihren eigenen PCs lokale Adminrechte.

Viele Grüße
Mac
Mitglied: Logan000
Logan000 21.12.2010 um 13:26:22 Uhr
Goto Top
Moin Mac

Ein kleiner Rat für die Zukunft:
Einfache Antwort: Der Chef möchte es so
Die Antwort ist einfach nur Sch...
Schliesslich hat er Dich zum obersten Rechteverwalter ernannt. Dann hat er also gute Gründe (die er Dir mitteielt), ansonsten bleit alles wie es ist.

Es handelt sich hier um Programmierer und Entwickler.
Diese Antwort ist 1000 besser.

Nur warum nicht alle Programmierer Adminrechte auf allen Entwicklungsrechnen haben können
bzw. (falls ihr ein paar mehr Entwickler habt) die Mitglieder einzelner Programmierer Teams Administrative Rechte an allen PC des Teams
leuchtet mir nach wie vor nicht ein.
Wie soll das sonst im Vertretungsfall laufen?

Gruß L.
Mitglied: Mactru
Mactru 21.12.2010 um 14:30:38 Uhr
Goto Top
Wir haben ja gerade erst angefangen uns mit den GPOs zu beschäftigen. Und dann kamen diese Überlegungen dass man es so abändern könnte. Es wird jetzt so bleiben wie es ist. Zumindest mit den lokalen Adminrechten. Gibt ja genügend andere Sachen mit denen man sich in dem Bereich beschäftigen kann.
Für die Vertretung muss keiner an den anderen PC Adminrechte haben. Deshalb ist das schon OK wenn die Rechte dann nicht vorhanden sind.
Meine Meinung konnte ich eigentlich ganz gut rüber bringen. Und wie gesagt, ich wollte sie nur noch mal von einem Fachmann untermauern lassen face-smile Und das ist jetzt ja auch geschehen.

Viele Grüße
Mac
Mitglied: Logan000
Logan000 21.12.2010 um 14:59:43 Uhr
Goto Top
Moin

Dann vergiss alles was ich geschieben hab.
Apropos: Fachmann und GPO. Kennst du schon www.gruppenrichtlinien.de?
Wenn deine Frage geklärt ist, dann setz den Beitrag doch bitte auf gelöst.

Danke.
Gruß L
Mitglied: Mactru
Mactru 21.12.2010 um 16:07:56 Uhr
Goto Top
Ne ne, das vergesse ich nicht. Solche Tipps können immer hilfreich sein.
Ja, www.gruppenrichtlinien.de kenne ich bereits. Da habe ich auch schon oft gelesen.
Den Beitrag setze ich jetzt noch auf gelöst. Ich komm bestimmt öfters hier vorbei face-smile

Grüße
Mac