Lokale Gruppe durch GPO schützen

[cenoman]

Hi,

ich habe ein leicht "seltsames" Problem.
Erstmal zur Erklärung:

1. Wir haben x Notebooks.
2. Auf jedem Notebook ist der entsprechende Besitzer (ein AD User) in der lokalen "Administratoren" Gruppe eingetragen.
3. Nun muss eine Lösung her, wie man diesen User daran hindern kann, die anderen Benutzergruppen auf dem Gerät zu verändern.

D.h. er soll obwohl er Admin ist keine Rechte haben, die Gruppen zu verändern.

Ist das verständlich?

Vielleicht hat ja jemand eine Idee..

Ps.: Am besten wäre es, wenn man entweder spezifische Gruppen komplett blockieren kann, oder die Bearbeitung aller Gruppen nur für Domain Admins erlaubt.

 

[Basket]

Warum machst Du keine Gruppe mit den erlaubten Rechten und weist diese dem Nutzern zu ?
Ich glaube kaum, dass man die lokale Administratorengruppe beschränken kann. Und falls doch, betrifft es alle lokalen Admins. Wenn dann die Domäne nicht zur Verfügung steht, kannst Du gar nix mehr machen.

Ich würde eine neue Gruppe anlegen, die mit den benötigten Rechten ausstatten und diese den AD Usern zuweisen.

Edit: Was sollen die User lokal dürfen, evtl. kannst Du diese Rechte per Policy zuweisen, dann brauchst Du lokal gar keine Gruppe.

Ergänzung (15. Oktober 2013)

Ich hab hier bei mir mal unter Win7 nachgesehen. Gruppen scheint man nicht beschränken zu können. Also auch nicht nur für Domänen-Admins.

Ich denke eine Admin-Gruppe zu beschränken ist nicht der richtige Weg.