Lokale Administratoren über GPO

Die Einstellungen beziehen sich nicht nur auf lokale Administratoren, es kann auch jede andere Gruppe verwendet oder konfiguriert werden, es können auch neue Gruppen erstellt werden und diese Gruppen mit speziellen Berechtigungen versehen werden. Ich muss dieses Thema auch abgrenzen, in einem kleinen Netzwerk gibt es auch nicht so viele Gruppen und verantwortliche.

Der Testaufbau wurde durchgeführt mit:

  • Synology DSM 7.0-41890
  • Synology Directory Server 4.10.18-0300

Computerverwaltung

Die Gruppe „Administratoren“ möchte ich auf dem Client bearbeiten und Domainen-Benutzer hinzufügen.

Benutzer und -Computer

Die Benutzer und Computerverwaltung mit einem berechtigten Benutzer ausführen

Gruppe

Eine neue Gruppe erstellen und den Benutzer hinzufügen der in die Gruppe „Administratoren“ hinzugefügt werden soll, auf die Gruppenbereiche oder Gruppentypen gehe ich hier nicht ein.

Gruppenrichtlinienverwaltung

Die Gruppenrichtlinienverwaltung mit einem berechtigten Benutzer ausführen

GPO

Gruppenrichtlinie erstellen, in meinem Beispiel ist es lokale-Administratoren

Gruppenrichtlinie Einstellungen Lokale Benutzer und Gruppen

Unter Computerkonfiguration –> Einstellungen –> Systemsteuerungseinstellungen –> Lokale Benutzer und Gruppen –> Neu –> Lokale Gruppe

Lokale Gruppe

Ich habe mich in meinem Beispiel dafür entschlossen nur die Gruppe zu aktualisieren, damit werden die Benutzer oder Gruppen in der Gruppe nicht überschrieben oder gelöscht. Diese Einstellung sollte für einen Test verwendet werden damit ich mich nicht aussperre. Es sollten auch keine Haken bei „Alle Mitgliederbenutzer löschen“ oder „Alle Mitgliedergruppen löschen“ gesetzt werden. Diese Einstellung kann ich später ändern wenn alle Tests erfolgreich gewesen sind.

Einstellungen

Erstelleneine neue Gruppe erstellen
Ersetzendie Gruppe ersetzen
Aktualisierendie Gruppe wird aktualisiert und es werden Benutzer oder Gruppen hinzugefügt
Löschendie Gruppe löschen
Alle Mitgliederbenutzer löschendie Benutzer die in der Gruppe sind werden gelöscht
Alle Mitgliedergruppen löschendie Gruppen in der Gruppe werden gelöscht, es ist möglich auch Gruppen zu verschachteln.

Es soll eine Lokale Gruppe bearbeitet werden, also muss unter dem Suchpfad euer Computername angezeigt werden, die Einstellung gilt auch für andere Computer. Der Gruppenname kann auch eingeben werden und mit dem Button „Name überprüfen“ gesucht werden, ich gehe davon aus der Name ist nicht bekannt und gehe auf den Button „Erweitert“

Die Gruppe „Administratoren“ auswählen und mit dem Button „OK“ bestätigen

Lokale Gruppe

Die Gruppe die oben erstellt wurde wird jetzt in die GPO eingefügt über den Button „Hinzufügen“

Lokale Gruppe

Die Einstellungen speichern und alles schließen

gpupdate /force

auf dem Client wo die Gruppenrichtlinie verknüpft ist ein gpupdate /force durchführen und darauf achten das die Computerrichtlinie erfolgreich aktualisiert wurde, wenn nicht kann eine Überprüfung mit gpresult /h <Pfad\Dateiname.html> durchgeführt werden. In der Datei sind Fehler beschrieben. Die Einstellung wurde erfolgreich abgeschlossen, dann muss noch ein Ab und Anmelden erfolgen sonst wird das sogenannte Access Token (SIDs..) nicht erneuert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert