, , ,

Lokale Administratoren Verwalten

Es gibt viele Szenarien in denen man bestimmte Benutzergruppen zu lokalen Administratoren auf Computern im Unternehmen machen möchte. Eine andere Möglichkeit ist, dass man Benutzer/Gruppen in unter Verwaltet von… einträgt und damit zu lokalen Administratoren heraufstuft.

In kleinen Unternehmen kann es ja noch einigermaßen praktikabel sein, einzelne Benutzerkonten in die lokalen Administratoren einzutragen. Darauf sollte man aber nicht setzen. Benutzt hierfür Gruppen! Dort werden dann alle Ma. eingetragen, die Zugriff erhalten sollen.

Eine weitere Möglichkeit an dieser Stelle ist es, dass man erstmal alle Benutzer und Gruppen aus den lokalen Administratoren löschen kann. So verhindert man auch gleich den ungewollten Zugriff für kurzfristig eingetragene und vergessene Benutzer. Die Händisch eingetragenen Benutzer werden dann durch die Gruppenrichtlinie mit jeder Aktualisierung entfernt.

Wie man sehen kann geben uns Gruppenrichtlinien hier verschiedenste Möglichkeiten an die Hand. Die hier gezeigten Einstellungen werden auf einem Windows Server 2016 erstellt.

 

Die eigentlichen Richtlinieneinstellungen sind schnell vollzogen. Kurz, wir erstellen ein Gruppenrichtlinienobjekt, das wir mit einer OU verknüpfen. Dort liegen die Computerkonten auf die wir lokale Administratorrechte vergeben wollen.

Die Gruppenrichtlinie finden wir unter

Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen

 

Hier erstellen wir eine neue lokale Gruppe und können jetzt beliebige Einstellungen auf die lokalen Gruppen machen.

 

Wie oben schon beschrieben, empfiehlt es sich mit Hilfe dieser Gruppenrichtlinie alle Benutzer aus den lokalen Administratoren zu entfernen. Und später die benötigten lokalen Administratoren mit einer Gruppe hinzuzufügen.

Dafür werden die integrierten Administratoren aktualisiert und die Harken im roten Rahmen gesetzt.

 

Nun über hinzufügen eine zuvor erstellte Gruppe hinzugefügt. In die Gruppe kommen später die Benutzer, die lokale Administratorberechtigungen erhalten sollen. Es ist hier darauf zu achten, die Gruppe über die Suche hinzuzufügen. Es ist wichtig das die SID für die Gruppe der Domäne aufgelöst wird!

 

Um die Gruppe Verwaltet von… Benutzer den lokalen Administratoren hinzuzufügen, muss man den %ManagedByUser% hier eintragen. Diese Benutzergruppe kann nicht über die Suche gefunden werden und muss genau wie im Bild zu sehen heißen.

 

Es ist möglich über die Zielgruppenaddressierung noch weiter einzuschränken, für wen diese Gruppenrichtlinie gilt. z.B. nur für einige Computerkonten

 

Zusammengefasst kann die GPO wie folgt aussehen.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Learn More)