none
Win2K8 - AD - Gruppenrichtlinie - lokaler Admin RRS feed

  • Frage

  • Hallo zusammen,

    ich bräuchte mal eure Hilfe.
    Ich habe hier einen Benutzer, dem ich gerne auf jedem Rechner in der AD Domäne lokale Adminrechte verpassen würde. Generell kein Problem. Gruppenrichtlinie erstellen und fertig. Nun hätte ich aber gerne, dass auf den diversen Clients die bis dato eingetragenen Benutzer mit lokalen Adminrechten vorhanden bleiben. Leider lässt sich dies nicht global via Gruppenrichtlinie einstellen. Es sind immer mal wieder nur einzelne Clients die das Ganz benötigen.

    Da ich mir nicht vorstellen kann, dass ich der einzigste bin der vor diesem Problem steht/stand, bitte ich um eure Hilfe.

    Gruß & Danke im Voraus
    Bacon_Royal

    Mittwoch, 17. August 2011 08:56

Antworten

  • Hallo Bacon_Royal

    Seit der Einführung vom Advanced Group Policy Management (aktuell AGPM 4.0 http://technet.microsoft.com/en-us/library/ee382452.aspx) kann man die GPO's besser für einzelne Anforderungen nutzen.
    Neben den üblichen Möglichkeiten stehen unteranderem auch die Group Policy Prefeneces zur Verfügung.

    Vorgehen:
    GPO bearbeiten (oder neue erstellen)
    Benutzerkonfiguration > Einstellungen > Systemsteuerung > Lokale Benutzer und Gruppen
    Rechte Maustaste > Neue Gruppe
    Wenn Du im ersten Register alles notwendige angegeben hast, kannst Du im Register "Gemeinsam" mittles der Option "Zielgruppenadressierung auf Elementebene" (letzte Option) die Adresssierung definieren. Unteranderm kannst Du genau definieren, welcher Benutzer es sein muss, und an welchem Computer die Richtlinie wirken soll.

    Wichtig: solltest Du WinXP einsetzen muss zuerst der Hotfix KB943729 (http://support.microsoft.com/kb/943729/de) auf den Clienst installiert sein. Sonst kann XP mit den GPP nichts anfangen.

    Das ganze ist zwar nett, aber im Falle von Änderungen (z.B. neuer PC für Benutzer) muss man immer daran denken, dass man etwas spezielles eingerichtet hat. Zu dem kann die Administration aufwendigt werden, je mehr solche Ausnahmen man hat.
    Weiter ist es nicht immer ganz durchsichtig, wann man nun welche Option "Erstellen", "Ersetzen", "Aktualisieren" oder "Löschen" benutzen muss. Aber wenn Du ordentlich testes und mit der Hilfe von diversen Foren, wirst Du sicher zum Ziel kommen.

    Viel Glück
    DecoCH

    • Als Antwort markiert Bacon Royal Donnerstag, 18. August 2011 05:55
    Mittwoch, 17. August 2011 11:19

Alle Antworten

  • Howdie!
     
    Am 17.08.2011 10:56, schrieb Bacon Royal:
    > ich bräuchte mal eure Hilfe.
    > Ich habe hier einen Benutzer, dem ich gerne auf jedem Rechner in der AD
    > Domäne lokale Adminrechte verpassen würde. Generell kein Problem.
    > Gruppenrichtlinie erstellen und fertig. Nun hätte ich aber gerne, dass
    > auf den diversen Clients die bis dato eingetragenen Benutzer mit lokalen
    > Adminrechten vorhanden bleiben. Leider lässt sich dies nicht global via
    > Gruppenrichtlinie einstellen. Es sind immer mal wieder nur einzelne
    > Clients die das Ganz benötigen.
     
    Hilft
    Sektion a), Beispiel 2?
     
    Cheers,
    Florian
     
     

    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    Mittwoch, 17. August 2011 11:04
  • Hi,
    das würde ja aber nur für die Gruppe Hauptbenutzer gelten?! Mir geht es ja um die Gruppe Administratoren. Es gibt leider auch heute immernoch diverse Programme die diese Rechte vorrausetzen.
    Mittwoch, 17. August 2011 11:16
  • Hallo Bacon_Royal

    Seit der Einführung vom Advanced Group Policy Management (aktuell AGPM 4.0 http://technet.microsoft.com/en-us/library/ee382452.aspx) kann man die GPO's besser für einzelne Anforderungen nutzen.
    Neben den üblichen Möglichkeiten stehen unteranderem auch die Group Policy Prefeneces zur Verfügung.

    Vorgehen:
    GPO bearbeiten (oder neue erstellen)
    Benutzerkonfiguration > Einstellungen > Systemsteuerung > Lokale Benutzer und Gruppen
    Rechte Maustaste > Neue Gruppe
    Wenn Du im ersten Register alles notwendige angegeben hast, kannst Du im Register "Gemeinsam" mittles der Option "Zielgruppenadressierung auf Elementebene" (letzte Option) die Adresssierung definieren. Unteranderm kannst Du genau definieren, welcher Benutzer es sein muss, und an welchem Computer die Richtlinie wirken soll.

    Wichtig: solltest Du WinXP einsetzen muss zuerst der Hotfix KB943729 (http://support.microsoft.com/kb/943729/de) auf den Clienst installiert sein. Sonst kann XP mit den GPP nichts anfangen.

    Das ganze ist zwar nett, aber im Falle von Änderungen (z.B. neuer PC für Benutzer) muss man immer daran denken, dass man etwas spezielles eingerichtet hat. Zu dem kann die Administration aufwendigt werden, je mehr solche Ausnahmen man hat.
    Weiter ist es nicht immer ganz durchsichtig, wann man nun welche Option "Erstellen", "Ersetzen", "Aktualisieren" oder "Löschen" benutzen muss. Aber wenn Du ordentlich testes und mit der Hilfe von diversen Foren, wirst Du sicher zum Ziel kommen.

    Viel Glück
    DecoCH

    • Als Antwort markiert Bacon Royal Donnerstag, 18. August 2011 05:55
    Mittwoch, 17. August 2011 11:19
  • Das Ganze funktioniert auc mit Administratoren/"Administrators".

    Cheers,

    Florian


    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    Mittwoch, 17. August 2011 12:52
  • Howdie DecoCH,

    AGPM ist ein eigenständiges Produkt aus dem MDOP (Microsoft Desktop Optimization Package). Group Policy Preferences, die du da ansprichst, sind im Betriebssystem bereits enthalten und benötigen AGPM nicht. Preferences sind somit "kostenfrei" und unabhängig. Man braucht AGPM nicht als Voraussetzung für GP Preferences.

    Florian


    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    Mittwoch, 17. August 2011 12:54
  • Hi Florian,

    Ist natürlich korrekt! In ab W28k sind die GPP ohne zutun vorhanden. Habe ein Durcheinander gekriegt mit W2k3 & WinXP bis W2k8R2 & Win7.

    Besten Dank für den Hinweis!

    DecoCH

    Mittwoch, 17. August 2011 14:44
  • Am 17.08.2011 schrieb Bacon Royal:

    Es gibt leider auch heute immernoch diverse Programme die diese Rechte vorrausetzen.

    Dann versuche herauszufinden, wo genau es hakt. Mit Hilfe von dem
    ProcessMonitor solltest Du es in wenigen Minuten hinkriegen.
    http://www.gruppenrichtlinien.de/HowTo/MusicMatch_als_Benutzer_ausfuehren.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 17. August 2011 19:13