Lokale Administratorenrechte per Gruppenrichtlinie vergeben

mx_microsoft_borderMöchte man bestimmten Domänen-Benutzern lokale Administratorenrechte an ihren Workstations zuweisen, steht man vor einer Herausforderung: Vergibt man lokale Administratorenrechte, indem man alle Domänenbenutzer per Group Policy Object (GPO) zu den lokalen Admins hinzufügt, spart man sich zwar die Verwaltungsarbeit, erlaubt aber den Benutzern Administratorenzugriff auf alle Computer in der Organizational Unit (OU), für die dieses Recht definiert wurde. Dies kann ein erhebliches Sicherheitsrisiko darstellen. Will man die Administratorenrechte lokal oder durch Gruppenzugehörigkeit verwalten, kann der Verwaltungsaufwand schnell ansteigen und unübersichtlich werden. Im folgenden Artikel erfahrt ihr, wie ihr euren Benutzern lokale Administratorenrechte auf einzelnen Computern zuweist, während ihr den Verwaltungsaufwand so gering wie möglich haltet, ohne die Übersicht zu verlieren.

Voraussetzungen

Group Policy Preferences: Mindestens Windows Server 2008 oder Windows Server 2003 mit installierten Gruppenrichtlinien-Clienterweiterungen für Windows Server 2003

Erstellen der Gruppenrichtlinie

Man erstellt eine neue Gruppenrichtlinie, die man mit der OU verknüpft, in der sich die Client-Computer befinden. Hier navigiert man zu: Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen Hier werden alle Benutzerobjekte angelegt und mit einem Rechtsklick nach der jeweiligen Gruppe benannt.

overview_users

Vordefinierter Administrator

Zuerst fügt man den vordefinierten Administratoraccount zu den lokalen Administratoren hinzu. Hier erstellt man eine neue lokale Gruppe, wählt den Gruppennamen “Administratoren (integriert)” aus und fügt den Benutzer “VORDEFINIERT\Administrator” hinzu. Um zu verhindern, dass andere Benutzer, die nicht per GPO definiert wurden, zu den Administratoren hinzugefügt werden, setzt man die Häkchen “Alle Mitgliederbenutzer löschen” und “Alle Mitgliedergruppen löschen” bei der ersten lokalen Gruppe. Bei allen weiteren Gruppen werden diese Häkchen nicht mehr ausgewählt, da sonst die zuvor konfigurierten Benutzer wieder aus der Gruppe entfernt würden. Anschließend bestätigt man mit “OK”.

1_builtin_admin

Domänen-Admins

Damit die Domänen-Administratoren ebenfalls Zugriff auf den PC erhalten, müssen diese explizit zur lokalen Administratorgruppe hinzugefügt werden. Hier erstellt man eine neue lokale Gruppe, wählt den Gruppennamen “Administratoren (integriert)” aus und drückt den Button “Hinzufügen”.

2.1_domain_admin

Hinweis: Die systemdefinierte Variable %DomainName% kann man auswählen, indem man im Namenstextfeld F3 drückt und die entsprechende Variable auflösen lässt. Das Hinzufügen des lokalen Gruppenmitglieds %DomainName%\Domänen-Admins wird mit OK bestätigt, sowie das Anlegen der Gruppe “Domänen-Admins”.

2_domain_admin

managedBy Admin

Durch diese Benutzergruppe wird die dynamische Zuweisung des jeweiligen Administrators konfiguriert. Nachdem das Attribut managedBy (“Verwaltet von”) für ein Computerkonto gesetzt wurde, wird nach Einrichtung dieser lokalen Gruppe der konfigurierte Benutzer automatisch als lokaler Administrator dieses Computers übernommen. Zuerst fügt man den Benutzer %DomainName%\%managedByUser% der Administratorengruppe “managedBy Admin” hinzu.

3_managedbyDomain

Die Variable %managedByUser% für den jeweiligen Administratoren-Benutzer wird nun per Zielgruppenadressierungseditor ausgelesen. Man wählt den Reiter “Gemeinsam” aus, setzt ein Häkchen für die Option “Zielgruppenadressierung auf Elementebene” und klickt auf “Zielgruppenadressierung”. Im Zielgruppenadressierungseditor erstellt man per “Neues Element” eine LDAP-Abfrage mit den folgenden Werten:

3.3_managedBy_admin

 

  • Filter: (&(objectCategory=computer)(objectClass=computer)(cn=%ComputerName%))
  • Bindung: LDAP:
  • Attribut: managedBy
  • Umgebungsvariable: managedBy

 

Anschließend erstellt man eine weitere LDAP-Abfrage mit den folgenden Werten:

3.4_managedBy_admin

 

  • Filter: (&(objectCategory=user)(objectClass=user)(distinguishedName=%managedBy%))
  • Bindung: LDAP:
  • Attribut: sAMAccountName
  • Umgebungsvariable: managedByUser

 

Durch diese LDAP-Abfragen wird das Attribut managedBy ausgelesen und der sAMAccountName des jeweiligen lokalen Administrators in der Variable %managedByUser% zurückgegeben. Nun sollten die Einstellungen im Zielgruppenadressierungseditor in etwa so aussehen:

3.5_managedBy_admin

Indem man die Änderungen bestätigt, kann man nun lokale Administratorenrechte durch das managedBy-Attribut dynamisch vergeben, ohne alle Benutzer global zu lokalen Administratoren heraufzustufen.

Active Directory – Verwaltung der lokalen Administratoren

Nachdem die Gruppenrichtlinie aktiv ist, kann man lokale Administratorenkonten für Computerobjekte in der betroffenen OU ganz einfach verwalten, indem man mit einem Rechtsklick auf das jeweilige Computerobjekt zunächst “Eigenschaften” wählt und zu dem Reiter “Verwaltet von” navigiert.

ad_managedBy-Kopie

Der Benutzer, der als Manager für diesen Computer konfiguriert wird, erhält nach Ausführen eines “gpupdate /force” und einer anschließenden Neuanmeldung administrative Rechte auf dem Clientcomputer.


Dieser Blog Artikel wurde erstmals am 11. August 2014 auf dem Blog der teamix GmbH veröffentlicht: http://blog.teamix.de/2014/08/11/lokale-administratorenrechte-per-gruppenrichtlinie-vergeben/


-xyra

Advertisements

One comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s