Lokale Gruppe durch GPO schützen

cenoman

Ensign
Registriert
Feb. 2011
Beiträge
250
Hi,

ich habe ein leicht "seltsames" Problem.
Erstmal zur Erklärung:

1. Wir haben x Notebooks.
2. Auf jedem Notebook ist der entsprechende Besitzer (ein AD User) in der lokalen "Administratoren" Gruppe eingetragen.
3. Nun muss eine Lösung her, wie man diesen User daran hindern kann, die anderen Benutzergruppen auf dem Gerät zu verändern.

D.h. er soll obwohl er Admin ist keine Rechte haben, die Gruppen zu verändern.

Ist das verständlich?

Vielleicht hat ja jemand eine Idee.. :)

Ps.: Am besten wäre es, wenn man entweder spezifische Gruppen komplett blockieren kann, oder die Bearbeitung aller Gruppen nur für Domain Admins erlaubt.
 
Zuletzt bearbeitet:
Warum machst Du keine Gruppe mit den erlaubten Rechten und weist diese dem Nutzern zu ?
Ich glaube kaum, dass man die lokale Administratorengruppe beschränken kann. Und falls doch, betrifft es alle lokalen Admins. Wenn dann die Domäne nicht zur Verfügung steht, kannst Du gar nix mehr machen.

Ich würde eine neue Gruppe anlegen, die mit den benötigten Rechten ausstatten und diese den AD Usern zuweisen.

Edit: Was sollen die User lokal dürfen, evtl. kannst Du diese Rechte per Policy zuweisen, dann brauchst Du lokal gar keine Gruppe.
Ergänzung ()

Ich hab hier bei mir mal unter Win7 nachgesehen. Gruppen scheint man nicht beschränken zu können. Also auch nicht nur für Domänen-Admins.

Ich denke eine Admin-Gruppe zu beschränken ist nicht der richtige Weg.
 
Zuletzt bearbeitet:
Zurück
Oben