Lokale Administratorenrechte per Gruppenrichtlinie vergeben

Möchte man bestimmten Domänen-Benutzern lokale Administratorenrechte an ihren Workstations zuweisen, steht man vor einer Herausforderung:

Vergibt man lokale Administratorenrechte, indem man alle Domänenbenutzer per Group Policy Object (GPO) zu den lokalen Admins hinzufügt, spart man sich zwar die Verwaltungsarbeit, erlaubt aber den Benutzern Administratorenzugriff auf alle Computer in der Organizational Unit (OU), für die dieses Recht definiert wurde. Dies kann ein erhebliches Sicherheitsrisiko darstellen.

Will man die Administratorenrechte lokal oder durch Gruppenzugehörigkeit verwalten, kann der Verwaltungsaufwand schnell ansteigen und unübersichtlich werden.

Im folgenden Artikel erfahren Sie, wie Sie Ihren Benutzern lokale Administratorenrechte auf einzelnen Computern zuweisen, während Sie den Verwaltungsaufwand so gering wie möglich halten, ohne die Übersicht zu verlieren.

Voraussetzungen

Group Policy Preferences:

Mindestens Windows Server 2008 oder Windows Server 2003 mit installierten Gruppenrichtlinien-Clienterweiterungen für Windows Server 2003

Erstellen der Gruppenrichtlinie

Man erstellt eine neue Gruppenrichtlinie, die man mit der OU verknüpft, in der sich die Client-Computer befinden.

Hier navigiert man zu: Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen

Hier werden alle Benutzerobjekte angelegt und mit einem Rechtsklick nach der jeweiligen Gruppe benannt.

overview_users

Vordefinierter Administrator

Zuerst fügt man den vordefinierten Administratoraccount zu den lokalen Administratoren hinzu.

Hier erstellt man eine neue lokale Gruppe, wählt den Gruppennamen „Administratoren (integriert)“ aus und fügt den Benutzer „VORDEFINIERT\Administrator“ hinzu.

Um zu verhindern, dass andere Benutzer, die nicht per GPO definiert wurden, zu den Administratoren hinzugefügt werden, setzt man die Häkchen „Alle Mitgliederbenutzer löschen“ und „Alle Mitgliedergruppen löschen“ bei der ersten lokalen Gruppe.

Bei allen weiteren Gruppen werden diese Häkchen nicht mehr ausgewählt, da sonst die zuvor konfigurierten Benutzer wieder aus der Gruppe entfernt würden.

Anschließend bestätigt man mit „OK“.

1_builtin_admin

Domänen-Admins

Damit die Domänen-Administratoren ebenfalls Zugriff auf den PC erhalten, müssen diese explizit zur lokalen Administratorgruppe hinzugefügt werden.

Hier erstellt man eine neue lokale Gruppe, wählt den Gruppennamen „Administratoren (integriert)“ aus und drückt den Button „Hinzufügen“.

2.1_domain_admin

Hinweis: Die systemdefinierte Variable %DomainName% kann man auswählen, indem man im Namenstextfeld F3 drückt und die entsprechende Variable auflösen lässt.

Das Hinzufügen des lokalen Gruppenmitglieds %DomainName%\Domänen-Admins wird mit OK bestätigt, sowie das Anlegen der Gruppe „Domänen-Admins“.

2_domain_admin

managedBy Admin

Durch diese Benutzergruppe wird die dynamische Zuweisung des jeweiligen Administrators konfiguriert.

Nachdem das Attribut managedBy („Verwaltet von“) für ein Computerkonto gesetzt wurde, wird nach Einrichtung dieser lokalen Gruppe der konfigurierte Benutzer automatisch als lokaler Administrator dieses Computers übernommen.

Zuerst fügt man den Benutzer %DomainName%\%managedByUser% der Administratorengruppe „managedBy Admin“ hinzu.

3_managedbyDomain

Die Variable %managedByUser% für den jeweiligen Administratoren-Benutzer wird nun per Zielgruppenadressierungseditor ausgelesen.

Man wählt den Reiter „Gemeinsam“ aus, setzt ein Häkchen für die Option „Zielgruppenadressierung auf Elementebene“ und klickt auf „Zielgruppenadressierung“.

Im Zielgruppenadressierungseditor erstellt man per „Neues Element“ eine LDAP-Abfrage mit den folgenden Werten:

3.3_managedBy_admin

  • Filter: (&(objectCategory=computer)(objectClass=computer)(cn=%ComputerName%))
  • Bindung: LDAP:
  • Attribut: managedBy
  • Umgebungsvariable: managedBy

Anschließend erstellt man eine weitere LDAP-Abfrage mit den folgenden Werten:

3.4_managedBy_admin

 

  • Filter: (&(objectCategory=user)(objectClass=user)(distinguishedName=%managedBy%))
  • Bindung: LDAP:
  • Attribut: sAMAccountName
  • Umgebungsvariable: managedByUser

 

Durch diese LDAP-Abfragen wird das Attribut managedBy ausgelesen und der sAMAccountName des jeweiligen lokalen Administrators in der Variable %managedByUser% zurückgegeben.

Nun sollten die Einstellungen im Zielgruppenadressierungseditor in etwa so aussehen:

3.5_managedBy_admin

Indem man die Änderungen bestätigt, kann man nun lokale Administratorenrechte durch das managedBy-Attribut dynamisch vergeben, ohne alle Benutzer global zu lokalen Administratoren heraufzustufen.

Active Directory – Verwaltung der lokalen Administratoren

Nachdem die Gruppenrichtlinie aktiv ist, kann man lokale Administratorenkonten für Computerobjekte in der betroffenen OU ganz einfach verwalten, indem man mit einem Rechtsklick auf das jeweilige Computerobjekt zunächst „Eigenschaften“ wählt und zu dem Reiter „Verwaltet von“ navigiert.

ad_managedBy-Kopie

Der Benutzer, der als Manager für diesen Computer konfiguriert wird, erhält nach Ausführen eines „gpupdate /force“ und einer anschließenden Neuanmeldung administrative Rechte auf dem Clientcomputer.

 

-xyra
http://miriamxyra.com – Miriam Wiesner

Miriam Wiesner

Miriam Wiesner arbeitet seit Dezember 2013 für Proact Deutschland. Dort war sie zunächst als System Engineer für die internen Systeme verantwortlich. Aktuell ist sie als Consultant mit Fokus auf IT-Security tätig. Neben der Consulting-Tätigkeit führt sie IT-Sicherheit Audits und Penetrationstests durch, um Kundensysteme auf potentielle Schwachstellen zu prüfen. Vor ihrer Zeit bei teamix konnte sie bereits Erfahrungen als Systemadministrator sowie als Softwareentwickler sammeln.

 
Kommentare

Diese Aussage „Der Benutzer, der als Manager für diesen Computer konfiguriert wird, erhält sofort nach Ausführen eines “gpupdate /force” administrative Rechte auf dem Clientcomputer“ ist so nicht ganz korrekt, denn Zugriffsberechtigungen werden über das sogenannte Access Token(SIDs..) gesteuert und das wird erst mit der nächsten Anmeldung erzeugt.

Trotzdem sehr schöner Beitrag…danke:-)

Hallo Marco,

vielen Dank für Dein Feedback!
Der Satz war etwas unglücklich formuliert. Ich habe den Artikel angepasst.

Was ich meinte:
Die Rechte sind bereits aktiv, wenn man sich mit seinen Anmeldedaten per UAC-Prompt am AD authentifiziert. Denn bei der Eingabe der Anmeldedaten, was als Login zählt, werden die SIDs geladen – wenn auch nur temporär.
Da das System die SIDs bis zur Neuanmeldung noch nicht permanent nachgeladen hat, müssen die Anmeldedaten bei jeder administrativen Aktion neu eingegeben werden.

„Der Benutzer, der als Manager für diesen Computer konfiguriert wird, erhält sofort nach Ausführen eines „gpupdate /force“ administrative Rechte auf dem Clientcomputer. Um nervige UAC-Prompts mit Passworteingabe zu vermeiden, ist es allerdings sinnvoller für den Benutzer, sich nach Erhalt der lokalen Administratorenrechte neu am Client anzumelden.“

VG
Miriam

Hallo Miriam

Dies ist eine tolle Anleitung für eine am Ende einfache Aufgabe. Leider habe ich nach der Umsetzung das Problem, dass die Administrativen Shares nicht mehr von aussen offen sind – auch nicht als Domain-Admin. Hast Du eine Idee, woran das liegen könnte und wie ich das umgehen kann?

Im Voraus vielen Dank für jeden Tipp!

Hi Simon,

ich habe es gerade nochmal getestet: Ich kann mich auf die administrativen Shares mit allen eingerichteten Accounts anmelden – es sollte nicht an der Gruppenrichtlinie liegen, wenn Du nach Anleitung vorgegangen bist.

– Welche Sicherheitseinstellungen sind denn auf Deinen administrativen Shares gesetzt?
– Welche Benutzer sind in der Administratorengruppe eingetragen (lusrmgr.msc -> Gruppen -> Administratoren)?
– Die Haken in „Alle Mitgliederbenutzer/-gruppen löschen“ sollten nur bei dem zuerst eingetragenen Administrator gesetzt werden!
– Hast Du ein englisches oder ein deutsches System? Im englischen sind die eingetragenen Namen/Variablen unterschiedlich zu denen im Deutschen.

Ich hoffe, ich konnte Dir weiterhelfen.

Schöne Grüße
Miriam

Hallo Miriam, ich habe die Anleitung genauestens befolgt und es funktioniert auch. Der User, den ich unter Client PC – Eigenschaften – Verwaltet von auswähle, wird der Administratorengruppe hinzugefügt. Wie aber entferne ich ihn? Denn wenn ich einen anderen User unter „verwaltet von “ auswähle, bleibt der User immer noch in der Administratoren Gruppe.

Gruss Selcuk

Hallo Selcuk,

hast Du bei dem ersten Administrator (in meinem Tutorial der vordefinierte) die Häkchen gesetzt bei „Alle Mitgliederbenutzer löschen“ und „Alle Mitgliedergruppen löschen“? Wenn ja, sollte auch der vorherige Admin entfernt werden, sobald ein neuer Admin hinzugefügt werden.

Aber vorsichtig: Nur bei dem ersten per GPO definierten Administrator die Haken setzen, sonst werden all Deine zuvor konfigurierten Administratoren wieder entfernt…

Schöne Grüße
Miriam

Hallo,

Eine wirklich gute Anleitung!

Ich habe jedoch eine Frage und hoffe Sie können mir dabei weiterhelfen.

Wie ist es möglich, bei dem Attribut „Verwaltet von“ eine Benutzergruppe anzugeben, sodass ich zb. auf 5 Computern für eine bestimmte Gruppe Lokale Adminrechte vergeben kann?

Grüße,
Marco

Hallo Marco,

es sollte auf normalem Wege möglich sein, eine AD-Benutzergruppe in das Attribut „Verwaltet von“ einzutragen – also genauso wie oben mit dem Benutzer beschrieben. Anstatt dem Benutzer sollte dann nach Anwenden der Gruppenrichtlinie die gewünschte Gruppe in die lokalen Administratoren eingetragen werden.
Beim Anmelden sollte natürlich Konnektivität zur Domäne bestehen, damit das Kerberos-Ticket gezogen werden kann und somit die Rechte richtig gesetzt werden.

Getestet habe ich es selbst allerdings noch nicht – ich freue mich auf Dein Feedback, ob es wie erwartet geklappt hat.

Schöne Grüße,
Miriam

Vielen Dank für die hilfreiche Anleitung. Im Test habe ich leider feststellen müssen, dass das Hinzufügen des Admins eine Einbahnstraße ist. Wurde das „Verwaltet von“ Attribut des Computerkontos auf einen anderen User geändert, wird dieser als Admin zwar hinzugefügt, der vorhergehende bleibt aber erhalten. Ist das so korrekt bzw. kann das Problem anders gelöst werden?

Hallo Mario,

wenn Du beim ersten Administrator-Eintrag (in meinem Artikel „VORDEFINIERT\Administrator“ die Häkchen „Alle Mitgliederbenutzer löschen“ und „Alle Mitgliedergruppen löschen“ setzt, sollte auch der vorhergehende Admin gelöscht werden.
Wichtig ist hierbei, dass diese Häkchen wirklich nur beim ersten Administrator, den man konfiguriert, angehakt werden (siehe Abschnitt „Vordefinierter Administrator“.

Konnte ich Dir damit helfen?

Schöne Grüße
Miriam

Hallo Miriam,

vorab vielen Dank für deinen Beitrag.

Kann auch ein fest definierter Benutzer (lokal kein Domönbenutzer) in die lokale Gruppe „Administratoren“ hinzugefügt werden.

Ich habe das schon mit der Gruppenaktualisierung und der lokalen Benutzerangabe „servername\user“ und auch nur „user“ versucht.
Meine Vermutung ist, dass das mit lokalen Benutzern gar nicht funktioniert.

Beste Grüße aus Berlin,
Tobias

Hallo Tobias,

vielleicht verstehe ich nicht ganz, was Du vor hast, aber wieso versuchst Du einen Nicht-Domänenbenutzer per Gruppenrichtlinie zu verwalten? Per Gruppenrichtlinie verwaltet man Domänenobjekte.

Um Dir wirklich helfen zu können, muss ich verstehen, was genau Du vor hast. Um was für einen Benutzer handelt es sich denn?

Ansonsten funktionieren auch folgende Kombinationen:
– VORDEFINIERT\Administrator: Mit VORDEFINIERT (Englisch: BUILTIN) kannst Du im System vordefinierte Benutzer ansprechen.
– %ComputerName%\Benutzer: Mit der Variable %ComputerName% wird der Computername eingesetzt, an dem die Gruppenrichtlinie angewandt wird. Der Benutzername sollte bei dieser Variante überall übereinstimmen.

Konnte ich Dir damit bereits helfen?

Schöne Grüße
Miriam

Hallo Miriam,

vielen Dank für die Anleitung, die ich nun testen werde. Bei den LDAP-Abfragen / Zielgruppenadressierung wäre es schön, die Strings auch im Text einzufügen – aus den Screenshots lässt sich nur schwer kopieren. 😉

Gruß aus Berlin,
Arne

Hallo Arne,

danke für Dein Feedback. Konntest Du die Anleitung bereits umsetzen?
Ich habe die LDAP-Filter als String unter den Screenshots eingefügt, um das Kopieren zu erleichtern. 😉

Schöne Grüße
Miriam

Hallo Miriam, danke für diese Anleitung. Ich habe die Konfiguration in unserer Umgebung nachgebaut komme aber nicht so ganz weiter. An dem getesteten Client wird zwar die Gruppe „managedBy Admin“ angelegt und der in der Verwaltung des Systems angegebene User hinzugefügt, aber Administrative Dinge darf er dennoch am System nicht.
Ich hatte die Konfig so verstanden, dass der User dann die gleichen Berechtigungen hat wie der User in der Gruppe der Administratoren auf dem lokalen System. Wo liegt hier vielleicht mein Fehler? Hast Du eine Idee?

Gruß
Matthias

Hallo Matthias,

irgendwas ist bei Deiner Konfiguration schief gelaufen.

In meinem Setup wird auf dem Client-PC keine Gruppe „managedBy Admin“ erstellt, sondern der User, der im managedBy Attribut eingetragen ist, wird den lokalen Administratoren hinzugefügt. Dadurch hat der Benutzer nicht nur die gleichen Rechte wie die Admins – er gehört zur Gruppe der lokalen Administratoren!

Hast Du vielleicht den Gruppennamen „Administratoren (integriert)“ nicht ausgewählt?

Schöne Grüße
Miriam

Hallo Miriam,

danke für die Anleitung. Wenn ich versuche, einen lokalen Benutzer mit %ComputerName%\user hinzuzufügen, bekomme ich die Meldung, dass das Konto nicht überprüft werden konnte.

(Hatte letztens den Fall, dass sich ein PC nicht mehr an der Domäne anmelden konnte und da der lokale Admin bei Win10 deaktiviert ist hatte ich erstmal keinen lokalen User mit Adminrechten mehr).

Wo könnte der Fehler liegen?

Gruß,
Georg

Hallo Georg,

>> danke für die Anleitung. Wenn ich versuche, einen lokalen Benutzer mit %ComputerName%\user hinzuzufügen, bekomme ich die Meldung, dass das Konto nicht überprüft werden konnte.

Deshalb solltest Du immer den lokalen Administrator mit „VORDEFINIERT\Administrator“ (deutsch) oder „BUILTIN\Administrator“ (englisch) konfigurieren. Und am besten fügst Du ebenfalls die Domänen-Administratoren (%DomainName%\Domänen-Admins) hinzu (damit Du Dich nicht aussperrst).

Bei %ComputerName%\user kann deine Gruppenrichtlinie schließlich nicht überprüfen, ob der lokale Benutzer auf dem Zielsystem tatsächlich existiert oder nicht.

Schöne Grüße
Miriam

PS: Solltest Du Dich an dem PC aus Deiner Domäne aussperren: Hast Du es schonmal versucht, Dich im abgesicherten Modus mit dem lokalen „Administrator“ ohne Passwort anzumelden? Wenn Du nichts an der Konfiguration für den lokalen Administrator geändert hast, sollte das funktionieren. 😉

Hallo Miriam,

Vielen Dank für die super Anleitung.

Funktioniert hervorragend – nur eine kleine weitergehende Frage:
Der hinterlegte Admin kann ja weiterhin User der lokalen Administratorengruppe hinzufügen.
Diese User haben dann bis zum nächsten GPO Update ebenfalls Adminrechte.
Kann man das pflegen der lokalen Admingruppe durch den Administrator unterbinden?

Beste Grüsse
Thomas

Hallo Thomas,

gerne doch – freut mich, dass ich Dir damit helfen konnte!

Zu Deiner Frage:
Grundsätzlich sollte das klappen, allerdings nicht mit den vordefinierten Standard Administratoren Gruppen. Du müsstest eine weitere Gruppe anlegen und diese granular für das System berechtigen.

Habe ich selbst noch nicht umgesetzt, daher keine Garantie, dass das per GPO funktioniert. Ich wünsche Dir viel Erfolg beim Realisieren Deiner Idee!

Schöne Grüße
Miriam

Hallo Miriam,

eine schöne leichtverständliche Anleitung, Danke schön !!

Ich möchte nochmal die Frage von Marco aufgreifen, wie sieht es denn aus wenn ich eine Gruppe von Admins anstatt einzelne User bei managedBy setzen möchte.

Bei mir habe ich nur die neue Gruppenrichtlinie managedByAdmin zu der entsprechenden Computer OU verknüpft und alle User aus der AdminGruppe, können die Computer administrieren ohne das Attribut managedBy setzen zu müssen.

Hi Andreas,

müsste genauso funktionieren, wie Christoph das beschrieben hat. Danke @Christoph! 😉

Schöne Grüße
Miriam

Ja, auch eine Gruppe kann zu den lokalen Administratoren hinzugefügt werden.

Kopiert den Eintrag „managedBy Admin“ und ändert den zweiten Eintrag im Zielgruppenadressiuerungseditor auf folgendes:

Filter: (&(objectCategory=group)(objectClass=group)(distinguishedName=%managedBy%))
Umgebungsvariablennamen: managedByGroup

Jetzt nur noch das Mitglied anpassen auf: %DomainName%\%managedByGroup%

Danke Dir, Christoph!

Schöne Grüße
Miriam

Hallo Miriam,

irgendwie bin ich nicht erfolgreich. WIr haben in userer Domände 10 Gruppen A1-A9. Ich möchte. dass die Gruppen A1-A3 auf jedem Rechner an dem Sie sich anmelden nur lokale Adminrechte bekommen. Ich weiß jetzt nicht wie ich die Gruppen bei Verwaltet von eintrage. Es geht ja immer nur eine.

Hallo Roland,

Dann erstelle doch eine übergeordnete Berechtigungsgruppe, die Du bei „Verwaltet von“ einträgst. Mitglieder dieser Gruppe sind alle Untergruppen, die berechtigt werden sollen.
Damit sollten diese Rechte auch auf die untergeordneten Gruppen vererbt werden.

Schöne Grüße
Miriam

Hallo zusammen,

bin ziemlich neu auf dem Gebiet. Eines leuchtet mitr nicht ein.
Der Vordefinierte Administrator muss der wirklich so hinzugefügt werden — VORDEFINIERT\Administrator ?
Oder steht VORDEFINIERT für die Domäne?
Bitte um Hilfe.

Hallo Richard,

„VORDEFINIERT\Administrator“ (deutsch) sowie der „BUILTIN\Administrator“ (englisch) steht für den lokalen Administrator, der auf jedem PC standardmäßig angelegt wird.
Ich hoffe, ich konnte Dir helfen.

Schöne Grüße
Miriam

Ausgangslage:
GPO funktioniert erstmal einwandfrei bis auf folgendes Thema:
UserA, UserB sollen lokale Administratoren sein.

UserA hat direkt nach einem runas alle Berechtigungen ohne sich am Computer angemeldet zu haben
UserB hat direkt nach einem runas keine Berechtigungen und muss sich am Computer anmelden um diese auch wirklich zu erhalten.

Wie bekomme ich es so hin das es wie bei UserA funktioniert oder kann ich eine Anmeldung auch direkt mitsimulieren?
Danke !

Folgendes Problem:
UserA und UserB

Die GPP funktioniert an und für sich das mal vorab. Ich habe das Problem das UserA lokaler Admin ist ohne Systemanmeldung aber mit Reboot und UserB leider nicht trotz reboot.

Wie kann ich User ohne Systemanmeldung dazu bringen die Rechte zu bekommen? Funktioniert bei mir iwie wahllos. Mal klappts dann wieder nicht.
Danke !

Was geschieht, wenn der Client „offline“ ohne Verbindung zur Domäne startet oder betrieben wird?
Wird dann die LDAP Abfrage nicht aufgrund Fehler ignoriert und somit kein Eintrag erzeugt?
Das bisherige „managed by“ Konto wurde durch den ersten Eintrag ja gelöscht und fehlt daher.
Was passiert wenn der Client im Home Office offline startet und erst später per VPN eine Verbindung zur Domäne herstellt?
Wir löst man dieses Problem in der heutigen Home Office Zeit?

Trackbacks für diesen Artikel

Hinterlassen Sie einen Kommentar an Richard R