Lokaler Administrator über Gruppenrichtlinienobjekt

8

Ich habe einen Windows 2008R2 DC (Just Setup), wir hatten bereits ungefähr 25 professionelle / ultimative Windows 7-Clients, denen wir jetzt unserer neuen Domain / DC beitreten werden. Benutzer verwendeten die Computer bereits und waren lokale Administratoren auf diesem Computer.

Ich möchte einen USER über ein Gruppenrichtlinienobjekt bereitstellen, der entweder auf jeder LOCAL Windows 7-Box erstellt werden kann und über lokale Administratorrechte verfügt, oder einen Domänenbenutzer, der auf jedem einzelnen PC in der Domäne über lokale Administratorrechte verfügt (Windows XP, 7).

Ich bin dankbar, wenn jemand dabei helfen kann. Ich habe versucht, einen Benutzer selbst zu erstellen, aber er wird nicht erstellt. Ich habe die Computer SettingsGruppe in GPO Edit verwendet, um den Benutzer zu erstellen.

Vielen Dank fürs Lesen - ich freue mich auf Ihre Anleitung Rihatum

windows-server-2008-r2 group-policy Rihatum
quelle

Antworten:

9

Meine erste Empfehlung ist, dass Sie den Benutzern diese Administratorrechte entziehen. Es wird dein Leben am Ende so viel einfacher machen. SO VIEL EINFACHER! Benutzer neigen dazu, ihre Computer wirklich durcheinander zu bringen, wenn sie Administratoren sind ... Viren, Spyware, Symbolleisten, Junky-Freeware, ändern Sie diese Einstellungen, löschen Sie diese Datei ... beschäftigen Sie sich einfach nicht damit.

Wenn Sie den Benutzern jedoch wirklich Administratorrechte erteilen müssen, können Sie problemlos einen Domänenbenutzer erstellen, der auf jedem PC über lokale Administratorrechte verfügt. Erstellen Sie zunächst einen Benutzer in AD. Erstellen Sie dann eine Gruppenrichtlinie und wenden Sie sie auf alle Arbeitsstationen an. In dieser Gruppenrichtlinie gehen Sie wie folgt vor:

Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen

Fügen Sie eine neue eingeschränkte Gruppe hinzu und stellen Sie sicher, dass Domain-Administratoren und der gerade erstellte Benutzer Mitglieder sind. Auf diese Weise können Sie diesen Computern keinen anderen lokalen Administrator hinzufügen, sondern nur das erreichen, was Sie tun möchten.

Jason Berg
quelle
Hallo Jason, vielen Dank für Ihre Antwort. Gibt es eine Möglichkeit, vorhandene lokale Administratorbenutzer auf Client-Workstations über ein Gruppenrichtlinienobjekt zu löschen? dann meine Local Admin gpo auf die Client-Computer anwenden? Wenn beispielsweise der Gleichstrom ausfällt, kann dieser lokale Benutzer (den wir über das Gruppenrichtlinienobjekt erstellen) weiterhin lokal auf den Computer zugreifen? Danke
Rihatum
4

Die anderen Antworten deckten es gut ab, aber ich möchte nur erwähnen, dass clientseitige Gruppenrichtlinieneinstellungen eine weitere gute Option für die Verwaltung lokaler Benutzer und Gruppen sind, mit etwas mehr Flexibilität (aber weniger Clientkompatibilität) als eingeschränkte Gruppen.

Shane Madden
quelle
1
NB: Es sollte im Rahmen der regulären Updates installiert worden sein, aber die XP-Clients benötigen einen Patch, um die Verwendung der clientseitigen Einstellungen zu ermöglichen.
Holocryptic
Hallo @Holocryptic, was bedeutet NB ..?
Gänseblümchen
1
@ warl0ck en.wikipedia.org/wiki/Nota_bene
Holocryptic