Lokalen Administrator Berechtigung via GPO verteilen

Ich möchte euch zeigen wie man schnell, unkompliziert und effizient Benutzer, die Berichtigung von einer Lokalen administrativen Berechtigung verteilt. In diesem Beitrag zeige ich euch nur, wie jeder Windows Client, von entsprechenden Benutzer, als lokaler Administrator angesehen wird.

Dieses Vorgehen funktioniert nur bei Windows Clients und Member Server. Aber nicht auf dem Domain Controller, da hat sogar ein lokaler Administrator zu wenig Berechtigungen, da würde man zum Beispiel einen Domain-Admin benötigen, aber diese Berechtigung ist einfach zu hoch und daher ein Sicherheitsrisiko.


Inhaltsverzeichnis

  1. Gruppe erstellen
  2. Gruppenrichtlinie erstellen
  3. Ausrollen

Gruppe erstellen

Wir benötigen zuerst eine Gruppe, denn das gilt als Best Practices, wir verwenden nur in Ausnahme Fällen direkt Benutzer.

Die Bezeichnung kann jeder für sich bestimmen, sollte nur einfach sein gehalten sein, damit man sich später einfach klassifizieren kann.

Der Gruppenbereich, sollte der Umgebungsstruktur angepasst werden, dies ist nur eine Testumgebung, daher wurde es auf dem Standard gehalten und habe globalen Bereich gewählt..

WertBeschreibung
Lokal (in Domäne)Eine lokale Gruppe kann nicht in anderen Domänen verwendet werden (eine lokale Gruppe kann jedoch Benutzer aus einer anderen Domäne enthalten). Eine lokale Gruppe kann in einer anderen lokalen Gruppe enthalten sein, sie kann jedoch nicht zur globalen Gruppe hinzugefügt werden.
GlobalDieser Gruppentyp kann verwendet werden, um den Zugriff auf Ressourcen in einer anderen Domäne bereitzustellen. In dieser Gruppe können Sie nur Konten aus derselben Domäne hinzufügen, in der die Gruppe erstellt wurde. Eine globale Gruppe kann anderen globalen und lokalen Gruppen hinzugefügt werden.
UniversalEs wird empfohlen, es in großen Active Directory-Gesamtstrukturen zu verwenden. Mit diesem Gruppenbereich können Sie Rollen definieren und Ressourcen verwalten, die auf mehrere Domänen verteilt sind. Wenn in Ihrem Netzwerk viele Zweige über WAN-Kanäle verbunden sind, ist es wünschenswert, universelle Gruppen nur für selten wechselnde Gruppen zu verwenden. Durch das Ändern der universellen Gruppe wird der globale Katalog im gesamten Unternehmen repliziert.

Beim Gruppentyp, können wir in dem Fall nur die Sicherheit wählen, denn wir brauchen Berechtigungen.

WertBeschreibung
SicherheitDieser Gruppentyp wird verwendet, um den Zugriff auf Ressourcen (Sicherheitsprinzipal) bereitzustellen. Sie möchten beispielsweise einer bestimmten Gruppe Zugriff auf Dateien in einem freigegebenen Netzwerkordner gewähren. Dazu müssen Sie eine Sicherheitsgruppe erstellen.
VerteilungDieser Gruppentyp wird zum Erstellen von E-Mail-Verteilerlisten verwendet (normalerweise in Microsoft Exchange Server verwendet). Eine an eine solche Gruppe gesendete E-Mail erreicht alle Benutzer (Empfänger) in der Gruppe. Dieser Gruppentyp kann nicht für den Zugriff auf Domänenressourcen verwendet werden, da diese nicht für die Sicherheit aktiviert sind.

Wir werden einen Benutzer unserer Wahl gleich mit der Gruppe ausstatten und öffnen vom Benutzer die Einstellungen. Wir gehen auf den Reiter “Mitglieder von” und fügen unsere neue Gruppe hinzu.


Gruppenrichtlinie erstellen

Wir müssen nun eine Gruppenrichtlinie erstellen. Der Name ist egal, Sie sollten sich nur an die Eindeutigkeit und der eigen erstellten Nomikatur halten, damit Sie immer wissen, wofür die GPO gedacht ist.

Die passende GPO finden Sie unter:

Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Eingeschränkte Gruppen

Bei den eingeschränkten Gruppen fügen Sie eine neue Gruppe hinzu. Wir werden uns, die oben erstellte Gruppen über “Durchsuchen” suchen und hinzufügen.

Danach kommt ein Pop-up Feld, hier haben wir die Möglichkeit im oberen Feld (verdeckt durch ein weiteres Pop-up Feld) explizit Benutzer hinzuzufügen, das werden wir nicht machen, denn das ist keine Best Practices (Niemals Benutzer direkt Berechtigen).

Wir werden nun die entsprechende Gruppe hinzufügen, in dem Fall ist es “Administrator”, es sollen immer Gruppen sein, die sich in “Buldin” befinden, bei dem Vorgang. Damit wird die oben erstellte Gruppe zu einer Lokalen Administratoren Gruppe.

Nur noch bestätigen und die GPO ist nun erfolgreich angelegt.

Nur noch eine kleine Kontrolle, damit man sieht wie das Ergebnis sein soll.

Damit die GPO funktioniert, müssen wir Sie noch in die richtige Struktur ziehen via Drag-and-drop. Es ist darauf zu achten, da es eine Computerkonfiguration (gültig für alle Benutzer) ist, müssen wir Sie in die Struktur der Computer verschieben und nicht in eine andere Struktur, wie Benutzer, da funktionieren nur Benutzerkonfiguration (gültig nur für einzelne Benutzer).


Ausrollen

Man kann es erzwingen in dem man in der PowerShell oder CMD den Befehl eingibt. Computerkonfigurationen werden nicht nach spätestens 90 Minuten automatisch übernommen, dies ist nur bei Benutzerkonfigurationen.

gpupdate /force

Sich danach abmeldet und wieder anmeldet oder man macht einen Neustart und nicht einfach Herunterfahren und später wieder hochfährt. Das sind zwei unterschiedliche Vorgehensweisen. Beim Herunterfahren werden Segmente, wie Treiber usw. auf der Festplatte gespeichert, solange der Schnellstartmodus aktiviert ist.

Wenn man dies abgeschlossen hat, kann man es nachkontrollieren, wenn man das Programm “Ausführen” öffnet und den Befehl absetzt.

compmgmt.msc

Unter den “Lokale Benutzer und Gruppen” bei den Gruppen und in der Berechtigungsgruppen “Administratoren” findet man nun die ober stellte, Gruppe und jeder Domain-Benutzer, der sich in dieser Gruppe befindet, wird automatisch Lokale Administratoren Rechte erhalten, auf jeden in der Domäne befindlichen PC.

Schreibe einen Kommentar

%d Bloggern gefällt das: