Lokale Adminrechte für User per Gruppenrichtlinie vergeben

Ich möchte einem AD-User per GPO die lokale Administratorenberechtigung geben, also auf dem Computer wo er sich einloggt.

Dazu habe ich im Netz folgende Anleitung gefunden:

Eleganter geht dies mit einer Gruppenrichtlinie. Zuständig ist hierfür die Richtlinie "Eingeschränkte Gruppen" unter den Sicherheitseinstellungen der Computerconfiguration.
Und so richtet man das ein:



Um die Nutzergruppe für die lokalen Administratorberechtigungen zu definieren, lege ich zuerst eine neue Sicherheitsgruppe im AD an, in die ich alle zukünftigen lokalen Administratoren aufnehme. Es kann natürlich auch eine bereits vorhandene Gruppe verwendet werden. Dann gehts an das Erstellen der Gruppenrichtlinie:

• Erstellen einer Richtlinie und Zuweisen zu der OU mit den Computerkonten der betroffenen Rechner.
• Im Gruppenrichtlinien-Editor zu Computerkonfiguration / Windows-Einstellungen /Sicherheitseinstellungen / Eingeschränkte Gruppen navigieren.
• Rechtsklick im rechten Fensterbereich und Auswahl von Gruppe hinzufügen ...
• Im folgenden Dialog wird die Gruppe angegeben, die der lokalen Administratoren-Gruppe hinzugefügt werden soll. Ich nenne sie mal lokale_Admins. Der einzutragende Name lautet also Domainname\lokale_Admins.
  Über den Button Durchsuchen gann die Gruppe auch aus dem AD ausgewählt werden.
• Im nächsten Dialog wird nun im Feld "Diese Gruppe ist Mitglied von:" festgelegt, das die Gruppe lokale_Admins Mitglied der Gruppe Administratoren werden soll.
• Nach Bestätigung aller Änderungen wird nun beim nächsten Aktualisieren der Gruppenrichtlinien die globale Gruppe lokale_Admins der lokalen Gruppe Administratoren auf allen von der Richtlinie betroffenen Rechnern hinzugefügt.

Zum Vergrößern anklicken....

Nun versteh ich allerdings nicht den ersten Punkt "Erstellen einer Richtlinie und Zuweisen zu der OU mit den Computerkonten der betroffenen Rechner."

Richtlinie erstellen ist klar, diese weise ich der OU zu, ist auch klar, aber die OU mit den Computerkonten der betroffenen Rechnern > das versteh ich jetzt nicht. Kann mir hier jemand auf die Sprünge helfen, ich hab da wohl ein Brett vor'm Kopf.

Das ganze möchte ich übrigens unter Server 2008 R2 anwenden. Kann das mal jemand testen, ob das hier so überhaupt funktioniert. Diese Anleitung war, soviel ich weiß, für Server 2003.

Hi Flex,
in deiner AD hast du normalerweise Computerkonten, die in deinem Netzwerk vorhanden sind.
Diese Richtlinie "Eingeschränkte Gruppen" ist eine computerbezogene Richtlinie und nicht Benutzer bezogen (also es gibt sie nicht unter "Benutzerkonfiguration").

D.h. alle Benutzer die sich an DIESEM Computer anmelden, vorrausgesetzt sie sind der Richtlinie zugewiesen haben, und in DER Gruppe "Domainname\lokale_Admins" sind, haben auch nur auf diesen Computern lokale Admin-Rechten. Melden sich die Benutzer auf anderen PCs an, haben sie keine lokalen Admin-Rechte.

D.h. jetzt für dich: Du müsstest dir eine OU erstellen (sofern du noch keine hast), in der alle Computerkonten vorhanden sind, an denen sich User anmelden und die dann auf diesen Computern lokale Admin-Rechte haben werden. Das sind deine "betroffenen Computer"

Ich hoffe ich konnte dir helfen, ansonsten fragen ;-)

Für 2008 R2 kann ich dir leider nicht sagen, ob es funktioniert, habe die Richtlinie leider unter http://www.gruppenrichtlinien.de auch nicht gefunden, vllt habe ich sie auch übersehen.

Hi Colcord!

Vielen Dank für deine Hilfe.

Also ich habe jetzt folgendes gemacht.

1. Habe im AD eine Sicherheitsgruppe "lokale_Admins" erstellt. Dieser Gruppe habe ich User "Hans" zugewiesen, der ist jetzt Mitglied in der Gruppe "lokale_Admins" (und nur dort).

2. Habe in der Gruppenrichtilinienverwaltung eine OU namens "lokale Admins" erstellt. Dieser OU kann ich aber keine Computerkonten zuweisen, ich kann doch einer OU nur Gruppenrichtlinien aus den "Gruppenrichtlinienobjekten" zuweisen, bzw. verknüpfen. Unter Computerkonten meinst du doch alle Rechner die sich in der AD Gruppe "Computer" befinden - oder (ich habe einen Clientrechner der heißt z. B. "Powerrechner")?

3. Also OU erstellt und dann unter "Gruppenrichtlinienobjekten" habe ich eine neue Gruppenrichtlinie erstellt. Die heißt dort "lokale Adminrechte auf Computern". Dieser Gruppenrichtlinie habe ich die Einstellungen wie oben beschrieben gegeben. Dort in diese Gruppenrichtlinie habe ich nur den Computer "Powerrechner" zugewiesen (somit sollte diese GPO nur für diesen Computer gelten)

4. Nun habe ich die Gruppenrichtlinie "lokale Adminrechte auf Computern" mit der OU "lokale Admins" verknüpft.

gpupdate ausgeführt, aber es funktioniert nicht, ich habe immer noch keine Adminrechte auf dem Computer "Powerrechner" (ich kann z. B. keine Freigaben machen)

Colcord schrieb:

D.h. jetzt für dich: Du müsstest dir eine OU erstellen (sofern du noch keine hast), in der alle Computerkonten vorhanden sind, an denen sich User anmelden und die dann auf diesen Computern lokale Admin-Rechte haben werden. Das sind deine "betroffenen Computer"

Zum Vergrößern anklicken....

Jetzt hab ich mir das zig-mal durchgelesen. Meinst du eine OU im AD oder die OU in der Gruppenrichtlinienverwaltung?

Also die OU ist ja die gleiche im AD und in der Gruppenrichtlinienverwaltung.
Muss ich jetzt im AD der OU die Computer zuweisen, die sich jetzt noch im AD unter "Computers" befinden?

Jop so schauts aus.

Die OU "Computers" ist ja nur eine Standard OU im AD, da landen erst mal alle Computer.

Also die Computer von dort in deine selbsterstellte OU verschieben

OK! Vielen Dank. Das versuch ich mal.

Muss der Computer da hin verschoben werden oder kann man auch ein Gruppe erstellen, wo der Computer Mitglied ist (weiß nicht ob ich den so einfach verschieben soll, vielleicht funktioniert dann was nicht)?

Nochwas:
In der erstellten GPO "lokale Adminrechte auf Computern" unter "Sicherheitsfilterung" steht standardmäßig die Grupp "Authentifizierte Benutzer" drinn. Muss ich hier auch was ändern oder hier den Computer hinzufügen?

Bevor wir irgendwie aneinander vorbeireden, würde ich so vorgehen (ich habe jetzt leider keinen 2008 R2 zur Hand um das ganze nachzuvollziehen):

1. Du erstellst dir eine OU für deine "betroffenen Computer", zum Testen erst mal einen Computer in diese OU aus der OU "Computers" verschieben.

2. Eine Gruppe namens "Lokale Admins" erstellen. In dieser Gruppe ist dein Testuser namens "Hans". Die Gruppe "Lokale Admins" ist Mitglied in der Gruppe "Administratoren".

3. Deine erstellte GPO "lokale Adminrechte auf Computern" verknüpfst du mit deiner erstellten OU für deine Computer

Flex schrieb:

Nochwas:
In der erstellten GPO "lokale Adminrechte auf Computern" unter "Sicherheitsfilterung" steht standardmäßig die Grupp "Authentifizierte Benutzer" drinn. Muss ich hier auch was ändern oder hier den Computer hinzufügen?

Zum Vergrößern anklicken....

Hier fügst du dann noch deine Gruppe "lokale Admins" hinzu.

Ansonsten schau mal unter www.gruppenrichtlinien.de -> Übersicht Richtlinien -> Windows Server 2008 R2 -> Computerkonfiguration, vllt steht dort in der Erklärung zu deiner Richtlinie noch mal etwas genaueres.

Vielen Dank Colcord für deine Bemühungen.

Habe das jetzt so gemacht, inzwischen habe ich auch Adminrechte auf dem Rechner "Powerrechner" der in die OU "lokale Admins" verschoben wurde. Allerdings hab ich jetzt mit "Hans" auch auf allen anderen Rechnern, bei denen ich mich anmelde, die Adminrechte, obwohl nur "Powerrechner" in der OU "lokale Admins" steht.

Der User "Hans" ist nur Mitglied in der Sicherheitsgruppe "lokale_Admins".

Die GPO "lokale Adminrechte auf Computern" hab ich mit der OU "lokale Admins" verknüpft. In der Sicherheitsfilterung der GPO steht nur die Sicherheitsgruppe "lokale_Admins". (oder hätte ich hier die authentifizierten Benutzer noch drinn lassen sollen?)

Hast du nen Tip?

OK hört sich erst mal gut an.

Hast du vllt noch zusätzlich ausversehen deine GPO "lokale Adminrechte auf Computern" mit der Standard OU "Computers" verknüpft? Wüsste nämlich nicht wodran es sonst liegen könnte, dass du nun auf allen PC Admin Rechte hast.

Hi Colcord.

Hast du vllt noch zusätzlich ausversehen deine GPO "lokale Adminrechte auf Computern" mit der Standard OU "Computers" verknüpft? Wüsste nämlich nicht wodran es sonst liegen könnte, dass du nun auf allen PC Admin Rechte hast.

Zum Vergrößern anklicken....

Habe ich überprüft, ist aber nicht der Fall.

Habe jetzt aber folgendes festgestellt:
Melde ich mich mit Hans auf einem Computer an, wo Hans noch nie angemeldet war und dieser Computer ist auch nicht Mitglied der OU "lokale Admins", klappt das. Hier hat Hans dann keine Adminrechte.
Melde ich Hans jedoch auf dem PC "GUGU" an (GUGU war einmal Mitglieder der OU "lokale Admins") dann hat hier Hans Adminrechte, obwohl aktuell der PC "GUGU" nicht mehr Mitglieder der OU "lokale Admins" ist. "GUGU" ist wieder in der OU "Computers", wo auch alle anderen Computer liegen, bis auf den PC "Powerrechner".

Also irgendwie bleibt da ne Leiche von "GUGU" in der OU "lokale Admins". Habe Server schon neu gestartet, auch mit "gpupdate /force" alles aktualisiert. Was nun?

Hast du gpupdate auf den Clientcomputer ausgeführt?

Hast du die betroffenen Clientcomputer mal danach neugestartet?

Hab gpupdate sowohl auf den Clients und auch auf dem Server ausgeführt. Jepp, mehrmals neu gestartet die Clients.

Sorry aber so langsam gehen mir dann die Ideen aus, hast ja schon alles ausprobiert :zwinker:

Anscheinend bleibt da echt eine "Leiche" in der OU zurück, wie du so schön formuliert hast :grins:

Vielleicht kann dir an der Stelle, sofern kein anderer mehr hier im Forum eine Idee hat, hier einer weiterhelfen: http://social.technet.microsoft.com/Forums/de-de/categories/

Ok, danke, das schau ich mir mal an.