none
Lokale Admins per GPO RRS feed

  • Frage

  • Hallo Zusammen,

    ich habe über die GPO zwei Gruppe aus dem AD den lokalen Administratoren (PC) hinzugefügt (Default Domain Policy > "Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen" Gruppe Administratoren welche als Mitglieder zwei Gruppen aus dem AD hat). Das klappt soweit auch alles, d.h. diese Gruppen haben auf den PCs der Domain lokale Adminrechte.

    Allerdings ist es nun so, dass ich in manchen Fällen noch zusätzlich einzelne User per Hand (direkt am PC) in die lokale Administratorengruppe hinzufügen muss. Das geht natürlich auch, ABER sobald ich den PC neustarte, überschreibt anscheinend die GPO den Inhalt der lokalen Administratoren Gruppe und der von Hand hinzugefügte User ist wieder verschwunden.

    Kennt das Phänomen jemand und weiß eine Lösung?

    Vielen Dank
    Gruß Andreas

    Mittwoch, 18. Mai 2011 09:17

Antworten

  • Hallo,

    >Kennt das Phänomen jemand und weiß eine Lösung?

    Lösung wäre vielleicht etwas übertrieben.
    Wir nutzen für diese Fälle ein simples Startscript (und keine engeschränkten Gruppen):

    net localgroup /add administratoren adm-gp-localadmins
    net localgroup /add administrators adm-gp-localadmins
    net localgroup /add administradores adm-gp-localadmins
    ...

     

     

    • Als Antwort markiert Blake-123 Mittwoch, 18. Mai 2011 12:06
    Mittwoch, 18. Mai 2011 11:37

Alle Antworten

  • Hallo,

    >Kennt das Phänomen jemand und weiß eine Lösung?

    Lösung wäre vielleicht etwas übertrieben.
    Wir nutzen für diese Fälle ein simples Startscript (und keine engeschränkten Gruppen):

    net localgroup /add administratoren adm-gp-localadmins
    net localgroup /add administrators adm-gp-localadmins
    net localgroup /add administradores adm-gp-localadmins
    ...

     

     

    • Als Antwort markiert Blake-123 Mittwoch, 18. Mai 2011 12:06
    Mittwoch, 18. Mai 2011 11:37
  • Hat geklappt.

    Vielen Dank!
    Andreas

    Mittwoch, 18. Mai 2011 12:07
  • Am 18.05.2011 schrieb Blake-123:

    ich habe über die GPO zwei Gruppe aus dem AD den lokalen Administratoren (PC) hinzugefügt (Default Domain Policy > "Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen" Gruppe Administratoren welche als Mitglieder zwei Gruppen aus dem AD hat). Das klappt soweit auch alles, d.h. diese Gruppen haben auf den PCs der Domain lokale Adminrechte.

    Die Default Domain Policy fasst man dafür nicht an. Lieber eine eigene
    GPO erstellen.

    Allerdings ist es nun so, dass ich in manchen Fällen noch zusätzlich einzelne User per Hand (direkt am PC) in die lokale Administratorengruppe hinzufügen muss. Das geht natürlich auch, ABER sobald ich den PC neustarte, überschreibt anscheinend die GPO den Inhalt der lokalen Administratoren Gruppe und der von Hand hinzugefügte User ist wieder verschwunden.

    Na klar, Du hast etwas per GPO definiert und das wird durchgedrückt.
    Wäre es anders hättest Du jetzt auch etwas dagegen. ;)

    Kennt das Phänomen jemand und weiß eine Lösung?

    Du kannst mit den Group Policy Preferences ganz einfach Benutzer in
    lokale Gruppen hinzufügen.
    http://www.gruppenrichtlinien.de/Bilder/gpp_06.png

    Die Variante von Matthias hat natürlich auch Charme. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Mittwoch, 18. Mai 2011 18:10
  • Hi,

    Am 18.05.2011 13:37, schrieb Matthias Wolf:

    Lösung wäre vielleicht etwas übertrieben.

    Der Trick ist, die Eingeschränkte Gruppe kennt Ersetzen und Zusammenführen.
    Die Frage ist, welchen Gruppen namen man "zuerst" in die Richtlinie
    einträgt.

    Ersetzen:
    Neu->Administratoren -> Mitglieder dieser Gruppe: "ClientAdmins"

    Zusammenführen:
    Neu->ClientAdmins -> Diese Gruppe ist Mitglied von: Administratoren

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 18. Mai 2011 21:58