Es gibt viele Szenarien in denen man bestimmte Benutzergruppen zu lokalen Administratoren auf Computern im Unternehmen machen möchte. Eine andere Möglichkeit ist, dass man Benutzer/Gruppen in unter Verwaltet von… einträgt und damit zu lokalen Administratoren heraufstuft.
In kleinen Unternehmen kann es ja noch einigermaßen praktikabel sein, einzelne Benutzerkonten in die lokalen Administratoren einzutragen. Darauf sollte man aber nicht setzen. Benutzt hierfür Gruppen! Dort werden dann alle Ma. eingetragen, die Zugriff erhalten sollen.
Eine weitere Möglichkeit an dieser Stelle ist es, dass man erstmal alle Benutzer und Gruppen aus den lokalen Administratoren löschen kann. So verhindert man auch gleich den ungewollten Zugriff für kurzfristig eingetragene und vergessene Benutzer. Die Händisch eingetragenen Benutzer werden dann durch die Gruppenrichtlinie mit jeder Aktualisierung entfernt.
Wie man sehen kann geben uns Gruppenrichtlinien hier verschiedenste Möglichkeiten an die Hand. Die hier gezeigten Einstellungen werden auf einem Windows Server 2016 erstellt.
Die eigentlichen Richtlinieneinstellungen sind schnell vollzogen. Kurz, wir erstellen ein Gruppenrichtlinienobjekt, das wir mit einer OU verknüpfen. Dort liegen die Computerkonten auf die wir lokale Administratorrechte vergeben wollen.
Die Gruppenrichtlinie finden wir unter
Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen
Hier erstellen wir eine neue lokale Gruppe und können jetzt beliebige Einstellungen auf die lokalen Gruppen machen.
Wie oben schon beschrieben, empfiehlt es sich mit Hilfe dieser Gruppenrichtlinie alle Benutzer aus den lokalen Administratoren zu entfernen. Und später die benötigten lokalen Administratoren mit einer Gruppe hinzuzufügen.
Dafür werden die integrierten Administratoren aktualisiert und die Harken im roten Rahmen gesetzt.
Nun über hinzufügen eine zuvor erstellte Gruppe hinzugefügt. In die Gruppe kommen später die Benutzer, die lokale Administratorberechtigungen erhalten sollen. Es ist hier darauf zu achten, die Gruppe über die Suche hinzuzufügen. Es ist wichtig das die SID für die Gruppe der Domäne aufgelöst wird!
Es ist möglich über die Zielgruppenaddressierung noch weiter Einschränkungen für diese Richtlinie zu machen.
Zusammengefasst kann die GPO wie folgt aussehen.
Um zum Beispiel die Gruppe Verwaltet von… Benutzer den lokalen Administratoren hinzuzufügen, muss man den %ManagedByUser% hier eintragen. Diese Benutzergruppe kann nicht über die Suche gefunden werden und muss genau wie im Bild zu sehen heißen.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!
Hallo leider funktioniert das zuordnen per GPP des Verwalt von Users nicht sauber. ich bekommen den Fehler 0x80070534 Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt im Event auf dem Client.
Irgend eine Idee
Hallo Stefan,
in meiner Anleitung steht [..] Es ist hier darauf zu achten, die Gruppe über die Suche hinzuzufügen. Es ist wichtig das die SID für die Gruppe der Domäne aufgelöst wird! [..] es ist wichtig das man den Benuzter oder die Gruppe im AD sucht, markiert und so in der GPO hinzufügt. Andernfalls funktioniert die Namensauflösung bzw. eben die Zuordnung zur SID nicht. Könnte das Dein Problem sein?
VG
Daniel