Lokalen Administrator Berechtigung via GPO verteilen

Aus FAQ LIFE-SESSIONS



Ich möchte euch zeigen wie man schnell, unkompliziert und effizient Benutzer, die Berichtigung von einer Lokalen administrativen Berechtigung verteilt. In diesem Beitrag zeige ich euch nur, wie jeder Windows Client, von entsprechenden Benutzer, als Lokaler Administrator angesehen wird.

Dieses Vorgehen funktioniert nur bei Windows Clients und Member Server. Aber nicht auf dem Domain Controller, da hat sogar ein Lokaler Administrator zu wenig Berechtigungen, da würde man zum Beispiel einen Domain-Admin benötigen, aber diese Berechtigung ist einfach zu hoch und daher ein Sicherheitsrisiko.

Gruppe erstellen[Bearbeiten | Quelltext bearbeiten]


Wir benötigen zuerst eine Gruppe, denn das gilt als Best-Practices, wir verwenden nur in Ausnahme Fällen direkt Benutzer.

Die Bezeichnung kann jeder für sich bestimmen, sollte nur einfach sein gehalten sein, damit man sich später einfach klassifizieren kann.

Der Gruppenbereich, sollte der Umgebungsstruktur angepasst werden, dies ist nur eine Testumgebung , daher wurde es auf dem Standard gehalten und habe Globalen Bereich gewählt..

Gruppenbereich
Wert Beschreibung
Lokal (in Domäne) Eine lokale Gruppe kann nicht in anderen Domänen verwendet werden (eine lokale Gruppe kann jedoch Benutzer aus einer anderen Domäne enthalten). Eine lokale Gruppe kann in einer anderen lokalen Gruppe enthalten sein, sie kann jedoch nicht zur globalen Gruppe hinzugefügt werden.
Global Dieser Gruppentyp kann verwendet werden, um den Zugriff auf Ressourcen in einer anderen Domäne bereitzustellen. In dieser Gruppe können Sie nur Konten aus derselben Domäne hinzufügen, in der die Gruppe erstellt wurde. Eine globale Gruppe kann anderen globalen und lokalen Gruppen hinzugefügt werden.
Universal Es wird empfohlen, es in großen Active Directory-Gesamtstrukturen zu verwenden. Mit diesem Gruppenbereich können Sie Rollen definieren und Ressourcen verwalten, die auf mehrere Domänen verteilt sind. Wenn in Ihrem Netzwerk viele Zweige über WAN-Kanäle verbunden sind, ist es wünschenswert, universelle Gruppen nur für selten wechselnde Gruppen zu verwenden. Durch das Ändern der universellen Gruppe wird der globale Katalog im gesamten Unternehmen repliziert.

Beim Gruppentyp, können wir in dem Fall nur die Sicherheit wählen, denn wir brauchen Berechtigungen.

Gruppentyp
Wert Beschreibung
Sicherheit Dieser Gruppentyp wird verwendet, um den Zugriff auf Ressourcen (Sicherheitsprinzipal) bereitzustellen. Sie möchten beispielsweise einer bestimmten Gruppe Zugriff auf Dateien in einem freigegebenen Netzwerkordner gewähren. Dazu müssen Sie eine Sicherheitsgruppe erstellen.
Verteilung Dieser Gruppentyp wird zum Erstellen von E-Mail-Verteilerlisten verwendet (normalerweise in Microsoft Exchange Server verwendet). Eine an eine solche Gruppe gesendete E-Mail erreicht alle Benutzer (Empfänger) in der Gruppe. Dieser Gruppentyp kann nicht für den Zugriff auf Domänenressourcen verwendet werden, da diese nicht für die Sicherheit aktiviert sind.
Local Admin 1.png

Wir werden einen Benutzer unser Wahl gleich mit der Gruppe ausstatten und öffnen vom Benutzer die Einstellungen. Wir gehen auf den Reiter "Mitglieder von" und fügen unsere neue Gruppe hinzu.

Local Admin 9.png

Gruppenrichtlinie erstellen[Bearbeiten | Quelltext bearbeiten]


Wir müssen nun eine Gruppenrichtlinie erstellen.

Local Admin 2.png