Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Usern lokale Adminrechte auf bestimmten Clients per GPO geben

Frage Microsoft Windows Userverwaltung

Mitglied: Mactru

Mactru (Level 1) - Jetzt verbinden

19.12.2010 um 21:14 Uhr, 15985 Aufrufe, 9 Kommentare

Hallo zusammen,
ich möchte allen Usern lokale Adminrechte per GPO zuweises. Dazu habe ich eine Gruppe lokaleAdmins erstellt. Ich habe die Fuktion:

Computerkonfiguration/Sicherheitseinstellungen/Eingeschränkte Gruppen

benutzt um die Adminrechte zuweisen zu lassen. Leider haben dadurch die User auf allen Clients, auf die die GPO greift lokale Adminrechte. Allerdings sollen die User nur auf ihren eigenen Clients die Adminrechte erhalten. Vielleicht weiß jemand eine Löseung

Vielen Dank schon mal und viele Grüße
Mac
Mitglied: Xaero1982
19.12.2010 um 23:58 Uhr
Moin,

dann musst du diese Rechner in eine separate OU schieben, ansonsten greift dieses GPO auf alle Rechner in dieser OU.

VG
Bitte warten ..
Mitglied: Logan000
20.12.2010 um 08:24 Uhr
Moin Moin

Oder du gibst das Recht "Gruppenrichtlinie Übernehmen" von den Autentifizierten Usern an eine Gruppe (oder den einen PC) weiter.

Ein Hinweis noch:
Die Einstellung "Eingeschränkte Gruppen" ersetzt komplett die vorhandenen Konfiguration!
Kann schnell nach hinten losgehen.

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 00:02 Uhr
Leider handelt es sich nicht um nur einen PC. Sondern alle. Die User sollen nur auf ihren eigenen PC lokale Adminrechte erhalten. Allerdings dürfen sie keine Domainadminrechte haben. Die darf nur ein bestimmter User haben. Bis jetzt wurde das immer an jeden PC manuell gemacht. Ich wüsste nur gerne ob das auch per GPO geht.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 11:27 Uhr
Moin

Ich wüsste nur gerne ob das auch per GPO geht.
Ja schon. Allerdings benötigst du dann eine GPO Pro User bzw. PC.

Wir haben bei uns für den seltenen Fall, das Anwender mal lokale Adminrechte erhalten sollen per "Eingeschränkte Gruppen" eine Domänen gruppe zu der gruppe der lokalen Administratoren hinzugefügt.
Um einem User lokale Adminrechte zu geben, schubsen wir ihn in diese Gruppe (und hinterher auch wieder heraus).
Natürlich hätte der Anwender dann auf allen Clients Lokale Admin rechte.
Darin sehe ich aber kein Problem, denn wenn ich nicht vertreten kann das jemand Adminrechte auf allen Clients bekommt, dann gebe ich ihm keine.

Ich (an deiner Stelle) würde mich fragen, warum sollen alle User Lokale Administratoren werden?

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 12:55 Uhr
OK, vielen Dank für deine Antwort. Ich hatte mir das so eigentlich schon gedacht und wollte eine Bestätigung haben. So lange arbeite ich nämlich noch nicht mit GPOs und mir fehlt da etwas die Erfahrung.
Es ist eine gute Frage warum alle lokale Adminrechte haben sollen. Einfache Antwort: Der Chef möchte es so
Es kommt wohl hier da mal vor, dass sich die User was installieren müssen. Es handelt sich hier um Programmierer und Entwickler. Deshalb haben sie alle an ihren eigenen PCs lokale Adminrechte.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 13:26 Uhr
Moin Mac

Ein kleiner Rat für die Zukunft:
Einfache Antwort: Der Chef möchte es so
Die Antwort ist einfach nur Sch...
Schliesslich hat er Dich zum obersten Rechteverwalter ernannt. Dann hat er also gute Gründe (die er Dir mitteielt), ansonsten bleit alles wie es ist.

Es handelt sich hier um Programmierer und Entwickler.
Diese Antwort ist 1000 besser.

Nur warum nicht alle Programmierer Adminrechte auf allen Entwicklungsrechnen haben können
bzw. (falls ihr ein paar mehr Entwickler habt) die Mitglieder einzelner Programmierer Teams Administrative Rechte an allen PC des Teams
leuchtet mir nach wie vor nicht ein.
Wie soll das sonst im Vertretungsfall laufen?

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 14:30 Uhr
Wir haben ja gerade erst angefangen uns mit den GPOs zu beschäftigen. Und dann kamen diese Überlegungen dass man es so abändern könnte. Es wird jetzt so bleiben wie es ist. Zumindest mit den lokalen Adminrechten. Gibt ja genügend andere Sachen mit denen man sich in dem Bereich beschäftigen kann.
Für die Vertretung muss keiner an den anderen PC Adminrechte haben. Deshalb ist das schon OK wenn die Rechte dann nicht vorhanden sind.
Meine Meinung konnte ich eigentlich ganz gut rüber bringen. Und wie gesagt, ich wollte sie nur noch mal von einem Fachmann untermauern lassen Und das ist jetzt ja auch geschehen.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 14:59 Uhr
Moin

Dann vergiss alles was ich geschieben hab.
Apropos: Fachmann und GPO. Kennst du schon www.gruppenrichtlinien.de?
Wenn deine Frage geklärt ist, dann setz den Beitrag doch bitte auf gelöst.

Danke.
Gruß L
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 16:07 Uhr
Ne ne, das vergesse ich nicht. Solche Tipps können immer hilfreich sein.
Ja, www.gruppenrichtlinien.de kenne ich bereits. Da habe ich auch schon oft gelesen.
Den Beitrag setze ich jetzt noch auf gelöst. Ich komm bestimmt öfters hier vorbei

Grüße
Mac
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(1)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Server2012 R2 Radius Richtlinien bestimmten Clients zuordnen (6)

Frage von MichaelW84 zum Thema Windows Server ...

Windows Server
GPO werden nicht an Window 7 Clients vergeben (5)

Frage von Tealk144 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...