Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Usern lokale Adminrechte auf bestimmten Clients per GPO geben

Frage Microsoft Windows Userverwaltung

Mitglied: Mactru

Mactru (Level 1) - Jetzt verbinden

19.12.2010 um 21:14 Uhr, 16876 Aufrufe, 9 Kommentare

Hallo zusammen,
ich möchte allen Usern lokale Adminrechte per GPO zuweises. Dazu habe ich eine Gruppe lokaleAdmins erstellt. Ich habe die Fuktion:

Computerkonfiguration/Sicherheitseinstellungen/Eingeschränkte Gruppen

benutzt um die Adminrechte zuweisen zu lassen. Leider haben dadurch die User auf allen Clients, auf die die GPO greift lokale Adminrechte. Allerdings sollen die User nur auf ihren eigenen Clients die Adminrechte erhalten. Vielleicht weiß jemand eine Löseung

Vielen Dank schon mal und viele Grüße
Mac
Mitglied: Xaero1982
19.12.2010 um 23:58 Uhr
Moin,

dann musst du diese Rechner in eine separate OU schieben, ansonsten greift dieses GPO auf alle Rechner in dieser OU.

VG
Bitte warten ..
Mitglied: Logan000
20.12.2010 um 08:24 Uhr
Moin Moin

Oder du gibst das Recht "Gruppenrichtlinie Übernehmen" von den Autentifizierten Usern an eine Gruppe (oder den einen PC) weiter.

Ein Hinweis noch:
Die Einstellung "Eingeschränkte Gruppen" ersetzt komplett die vorhandenen Konfiguration!
Kann schnell nach hinten losgehen.

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 00:02 Uhr
Leider handelt es sich nicht um nur einen PC. Sondern alle. Die User sollen nur auf ihren eigenen PC lokale Adminrechte erhalten. Allerdings dürfen sie keine Domainadminrechte haben. Die darf nur ein bestimmter User haben. Bis jetzt wurde das immer an jeden PC manuell gemacht. Ich wüsste nur gerne ob das auch per GPO geht.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 11:27 Uhr
Moin

Ich wüsste nur gerne ob das auch per GPO geht.
Ja schon. Allerdings benötigst du dann eine GPO Pro User bzw. PC.

Wir haben bei uns für den seltenen Fall, das Anwender mal lokale Adminrechte erhalten sollen per "Eingeschränkte Gruppen" eine Domänen gruppe zu der gruppe der lokalen Administratoren hinzugefügt.
Um einem User lokale Adminrechte zu geben, schubsen wir ihn in diese Gruppe (und hinterher auch wieder heraus).
Natürlich hätte der Anwender dann auf allen Clients Lokale Admin rechte.
Darin sehe ich aber kein Problem, denn wenn ich nicht vertreten kann das jemand Adminrechte auf allen Clients bekommt, dann gebe ich ihm keine.

Ich (an deiner Stelle) würde mich fragen, warum sollen alle User Lokale Administratoren werden?

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 12:55 Uhr
OK, vielen Dank für deine Antwort. Ich hatte mir das so eigentlich schon gedacht und wollte eine Bestätigung haben. So lange arbeite ich nämlich noch nicht mit GPOs und mir fehlt da etwas die Erfahrung.
Es ist eine gute Frage warum alle lokale Adminrechte haben sollen. Einfache Antwort: Der Chef möchte es so
Es kommt wohl hier da mal vor, dass sich die User was installieren müssen. Es handelt sich hier um Programmierer und Entwickler. Deshalb haben sie alle an ihren eigenen PCs lokale Adminrechte.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 13:26 Uhr
Moin Mac

Ein kleiner Rat für die Zukunft:
Einfache Antwort: Der Chef möchte es so
Die Antwort ist einfach nur Sch...
Schliesslich hat er Dich zum obersten Rechteverwalter ernannt. Dann hat er also gute Gründe (die er Dir mitteielt), ansonsten bleit alles wie es ist.

Es handelt sich hier um Programmierer und Entwickler.
Diese Antwort ist 1000 besser.

Nur warum nicht alle Programmierer Adminrechte auf allen Entwicklungsrechnen haben können
bzw. (falls ihr ein paar mehr Entwickler habt) die Mitglieder einzelner Programmierer Teams Administrative Rechte an allen PC des Teams
leuchtet mir nach wie vor nicht ein.
Wie soll das sonst im Vertretungsfall laufen?

Gruß L.
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 14:30 Uhr
Wir haben ja gerade erst angefangen uns mit den GPOs zu beschäftigen. Und dann kamen diese Überlegungen dass man es so abändern könnte. Es wird jetzt so bleiben wie es ist. Zumindest mit den lokalen Adminrechten. Gibt ja genügend andere Sachen mit denen man sich in dem Bereich beschäftigen kann.
Für die Vertretung muss keiner an den anderen PC Adminrechte haben. Deshalb ist das schon OK wenn die Rechte dann nicht vorhanden sind.
Meine Meinung konnte ich eigentlich ganz gut rüber bringen. Und wie gesagt, ich wollte sie nur noch mal von einem Fachmann untermauern lassen Und das ist jetzt ja auch geschehen.

Viele Grüße
Mac
Bitte warten ..
Mitglied: Logan000
21.12.2010 um 14:59 Uhr
Moin

Dann vergiss alles was ich geschieben hab.
Apropos: Fachmann und GPO. Kennst du schon www.gruppenrichtlinien.de?
Wenn deine Frage geklärt ist, dann setz den Beitrag doch bitte auf gelöst.

Danke.
Gruß L
Bitte warten ..
Mitglied: Mactru
21.12.2010 um 16:07 Uhr
Ne ne, das vergesse ich nicht. Solche Tipps können immer hilfreich sein.
Ja, www.gruppenrichtlinien.de kenne ich bereits. Da habe ich auch schon oft gelesen.
Den Beitrag setze ich jetzt noch auf gelöst. Ich komm bestimmt öfters hier vorbei

Grüße
Mac
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Lokale Adminrechte per GPO Funktioniert nicht! (AD) (5)

Frage von firevegeta zum Thema Windows Server ...

Windows Userverwaltung
Netzlaufwerke werden bei zwei Usern nicht per GPO (4)

Frage von dragonstyn zum Thema Windows Userverwaltung ...

Windows 10
gelöst Domänenbenutzer lokale Adminrechte (Domäne fehlt in Suchpfad) (7)

Frage von it-fraggle zum Thema Windows 10 ...

Windows Server
Lokaler Benutzer über GPO verteilen (4)

Frage von staybb zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (56)

Frage von pjrtvly zum Thema Internet ...

Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

LAN, WAN, Wireless
gelöst IP Adressen - Modem - Switch - Accesspoint (22)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows 7
Bluesreens unternehmensweit (22)

Frage von SYS64738 zum Thema Windows 7 ...