none
Wie Domänenbenutzer in Admingruppe auf dem jeweiligen PCs (und nicht auf allen) RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo

    Ich habe einen Windows SBS 2008 Essentials Server und verschiedene Windows 7 Clients (lokale Benutzerprofile). Wenn ich jetzt (mit Hilfe des Connect-Programmes) einen PC zur Domäne hinzufüge (Benutzer existiert im AD schon oder wurde dort neu angelegt), wird der Domänenbenutzer nicht automatisch zur Administratorengruppe auf dem PC hinzugeügt. Wie kann ich das per GPO o.ä. ändern (und zwar so, das auch nur dieser Domänenbenutzer in der Admingruppe auf dem einen PC ist und nicht auf allen):

    PC1 -> User1

    PC2 -> User2

    und nicht:

    PC1 -> User1 und User2

    PC2 -> User1 und User2

    in diesem Fall wüsste ich wohl wie das geht ("eingeschränkte Gruppen").

    Gruß Thomas


    Montag, 8. Oktober 2012 14:15
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 08.10.2012 16:15, schrieb Thomas Stather:
    > wird der Domänenbenutzer nicht automatisch zur Administratorengruppe auf
    > dem PC hinzugeügt. Wie kann ich das per GPO o.ä. ändern (und zwar so,
    > das auch nur dieser Domänenbenutzer in der Admingruppe auf dem einen PC
    > ist und nicht auf allen)
     
    - neue GPO, verlinkt an "MyComputers"
    - CompKonf -> Einstellungen -> GPP Local Users and Groups
    - Gruppe -> Administratoren -> den Benutzer "add" über Durschsuchen
    - Tab Gemeinsam: Item Level Targeting (Zielgruppenadressierung ...)
      -> Wenn Compüuter Name ist xxx
     
    Diesen Eintrag Pro Benutzer/Gruppe/Pro PC in einer GPO
    Wer auch immer "wo" Admin ist. Pro Regel ein Eintrag
     Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Montag, 8. Oktober 2012 14:24
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Das geht am einfachsten über Group Policy Preferences "Lokale Benutzer
    und Gruppen". Ich würde vorschlagen:
     
    a) Erstelle in der Domäne eine Gruppe für jeden Computer. In diese
    Gruppen steckst Du die User rein, die auf dem jeweiligen PC Admin sein
    sollen. Der Name der Gruppe sollte den Computernamen enthalten, dann
    wird's in Schritt 2 einfacher (z.B. "GG_PC1_Admins").
    b) Erstelle ein GPP-Element. Konfiguriere dort die Gruppe
    "Administratoren", füge als Mitglied die Gruppe
    "<Domain>\GG_%COMPUTERNAME%_Admins" hinzu (nicht über "..." suchen...).
     
    Hat den Vorteil, daß Du nur eine einzige GPO-Einstellung brauchst. Mit
    Restricted Groups würde es auch gehen, aber da gibt's keine
    Umgebungsvariablen, Du bräuchtest also eine GPO pro Rechner. Wird
    schnell unübersichtlich ;-)
    Wenn Du GPP nutzt, darfst Du übrigens die gleiche Gruppe nicht auch noch
    per Restricted Groups konfigurieren.
     
    mfg Martin
     
    PS: Kannst natürlich auch gemäß Mark ein Element pro Rechner
    erstellen... ;-))
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Montag, 8. Oktober 2012 15:10
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Moin,
     
    Am 08.10.2012 17:10, schrieb Martin Binder:
    > b) Erstelle ein GPP-Element. Konfiguriere dort die Gruppe
    > "Administratoren", füge als Mitglied die Gruppe
    > "<Domain>\GG_%COMPUTERNAME%_Admins" hinzu (nicht über "..." suchen...).
     
    Bei der Idee bin ich immer hin und hergerissen.
    - ich gewinne eine simple GPO mit mehr Gruppenaufwand (liegt an der
    Delegation wie gut oder leicht das organisiert ist)
    - ich verliere mein simples Reporting, wenn mich jemand fragt: Wer ist
    lokaler Admin, dann habe ich bei meiner 1zu1 Liste schon alles beisammen.
     
    Ich füge meine "Level1 Supporter" oder ähnliche Gruppen pauschal hinzu,
    sodass ich den Helpdesk abfange. Die Regel würdest du trotzdem bauen?
    Oder wird jeder Helddeskler in jede "Computer AD Gruppe" integriert?
    Das ist schon ein sehr hohes Mass an Delegation ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Montag, 8. Oktober 2012 19:36
    |
  • Discussion
    Anmelden
    0
    Anmelden
     
    > > "<Domain>\GG_%COMPUTERNAME%_Admins" hinzu (nicht über "..." suchen...).
    > - ich verliere mein simples Reporting, wenn mich jemand fragt: Wer ist
    > lokaler Admin, dann habe ich bei meiner 1zu1 Liste schon alles beisammen.
     
    Das ist wohl wahr - aber nachdem es bei uns keine "lokalen Admins pro
    PC" gibt, sondern nur "global", haben wir das ausschließlich über
    Restricted Groups gelöst. Eine Domänengruppe, die lokaler Admin wird,
    und jeder, der's braucht, kommt da direkt oder verschachtelt rein.
     
    dsquery group -samid WS_Admins | dsget group -members -expand | dsget
    user -samid -fn -ln -c 2>nul
    und fertig ist mein Reporting ;-)
     
    Die Ursprungsfrage hier ist ja, daß er für jeden PC quasi individuell
    definieren will, wer lokaler Admin wird. Und ob ich dann eine lange
    Liste von Group Items oder eine lange Liste mit Gruppen habe, ist im
    Ergebnis fast der gleiche Aufwand. Von der Performance her spielt es
    auch keine Rolle - hier auf ner Test-VM hat's mit 100 Items (Filter 1x
    wahr, 99x falsch) 0,8 Sekunden gedauert, mit 2 Items waren's "nur noch"
    0,6 Sekunden.
     
    Ich find halt Delegation und Gruppen charmant, aber letztlich muß es
    jeder selber entscheiden - er muß es ja dann auch betreiben <g>
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 9. Oktober 2012 06:56
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    letztendlich möchte er ja irgendwo ein Mapping zwischen User und Computer herstellen.

    Das macht natürlich mit egal welche Methode Arbeit.

    Was auch eine Möglichkeit ist, häng aber wieder davon ab ob ihr das evl. ohnehin schon plegt,
    benutze doch einfach ein leeres Feld im Computer Account (z.B. Description).

    Im Description trägst du den Haupt-User ein der Admin sein soll.

    Computer1 Desciption = User1

    Jetzt kannst du eine Policy bauen die eine LDAP Afrage als Item Level Targeting benutzt.
    Die LDAP Abfrage macht nichts anderes, als das Description Feld auszulesen und es in eine temporäre Variable zu schreiben.
    Z.B. %UsertoAdd%.

    So hast du auch wieder nur eine Policy und kannst ebenfalls einfach per dsquery das Desciption Feld aus dem AD lesen.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Dienstag, 9. Oktober 2012 07:55
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Thomas,

    haben die Antworten weitergeholfen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 10. Oktober 2012 07:31
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo

    Ja ich werde es mit der Antwort von Mark Heitbrink mal versuchen. Es gibt aber nicht eine Möglichkeit nur eine GPO zu definieren und zwar von der Form:

    wenn PC_1 dann heißt der Admin Beispieldomäne\Admin_1

    wenn PC_2 dann heißt der Admin Beispieldomäne\Admin_2

    oder? Weil Zielgruppenaddressierung funktioniert ja nur für eine GPO und nicht für einzelne Elemente davon oder? Eine weitere kurze Frage, ich brauche die Zielgruppenaddressierung nicht, ich kann ja auch direkt bei "Sicherheitsfilterung" (wenn ich auf die GPO klicke in der GPMC) nur den Computernamen angeben, oder?

    Mittwoch, 10. Oktober 2012 13:53
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Am 10.10.2012 15:53, schrieb Thomas Stather_:
    > Weil Zielgruppenaddressierung funktioniert ja nur für eine GPO und nicht
    > für einzelne Elemente davon oder?
     
    Warum glaubst du heisst das Zielgruppenadressierung auf ELEMENTEBENE?
    ... pro GPO wäre es eine WMI oder ein SIcherheitsfilter.
    In den Preferences/Einstellungen gibt es aber auch die
    Zielgruppenadressierung auf Elementebene ... Item Level Targeting
     
    Du willst ja nicht PRO COmputer eine GPO erstellen, sondern eine GPO
    vielen ELEMENTEN. Die PRO Computer gefiltert sind.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Mittwoch, 10. Oktober 2012 14:43
    |
  • Discussion
    Anmelden
    0
    Anmelden
     
    > wenn PC_1 dann heißt der Admin Beispieldomäne\Admin_1
    >
    > wenn PC_2 dann heißt der Admin Beispieldomäne\Admin_2
    >
     
    Sooo intelligent ist die Verarbeitung dann doch nicht... Aber was ginge:
    PC_1 -> "Admin_PC_1" (%computername% im Username verwenden)
     
    Rest wurde ja schon beantwortet ;-)
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 10. Oktober 2012 21:01
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 10.10.2012 23:01, schrieb Martin Binder:
    >  > wenn PC_1 dann heißt der Admin Beispieldomäne\Admin_1
    > Sooo intelligent ist die Verarbeitung dann doch nicht...
     
    Du könntest natürlich vorher die "1" als Variable pro Computer
    definieren und dann diese im Namen verwenden ... :-D
    SCNR
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Donnerstag, 11. Oktober 2012 07:00
    |
  • Discussion
    Anmelden
    0
    Anmelden
     
    > Du könntest natürlich vorher die "1" als Variable pro Computer
    > definieren und dann diese im Namen verwenden ... :-D
     
    Mach ich doch glatt:
     
    Set AdminUserSuffix=%computername:~-1,1%
     
    :D
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 11. Oktober 2012 07:26
    |