Lokale Administratoren
Um einem User Lokale Administrationsrechte zu geben gibt es viele Wege. Einer davon ist die Gruppenrichtlinen (GPO) anzuwenden. Im folgenden die Beschreibung um mit einer GPO User auf allen Computern die lokalen Administrationsrechte zu geben.
Definiere eine Sicherheitsgruppe
Als erstes eine Sicherheitsgruppe im AD erstellen.
- Auf Domänen Controller anmelden
- Neue Gruppe vom Typ Sicherheit erstellen, z.b. localAdmins
- Benutzer als Mitglieder einfügen, z.b. ms und albert
Definiere eine Gruppenrichtline
Es ist sehr ratsam eine eigenständige Gruppenrichtlinie für jeden Anwendungsfall zu erstellen.
- Console für Gruppenrichtlinien öffnen und auf der gewünschten Ebene eine neue Gruppenrichtlinie erstellen, z.b. „Locale Admin Rechte“
- Editieren der neu erstellen Regel (Rechtsklick, bearbeiten)
- Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Eingeschränkte Gruppen
- Gruppe hinzufügen und dieser einen Namen geben, zb. LocMan
- In der Gruppe LocMan einstellen: Mitglieder die vorher erstelle AD Sicherheitsgruppe z.b. Domänenname\LocalAdmins , Mitglieder von: Administratoren, RemoteDesktopBenutzer (Achtung: die zweite Einstellung kann irgend ein Text sein, der hier nicht geprüft wird, muss aber auf dem jeweiligen Computer genau so heissen)
- Testen, lokal mit dem gewählten User anmelden, allenfalls ein gpupdate ausführen und es sollte gehen.
Diese Einstellungen wurden auf einem Windows Server 2012 gemacht. Sollte aber auch auf 2k8 dasselbe sein.