Lokale Administratorrechte zentral per GPO steuern

Besonders in Unternehmen mit vielen Powerusern kommt es oft vor, dass bestimmte Anwender lokale Administratorrechte auf den PCs benötigen. Um dies zentral zu verwalten, möchte ich zwei verschiedene Ansätze zeigen: Bestimmte Benutzer bekommen auf alle Clients lokale Administratorrechte und bestimmte Anwender bekommen nur auf dem eigenen System lokale Administratorrechte.

Hinweis:
Dieser Artikel wurde unter Windows Server 2016 und Windows 10 getestet. Als Domänenfunktionsebene wurde "Windows Server 2016" genutzt.

Lokale Administratorrechte auf allen Clients

Dieser Ansatz ist sonnvoll, wenn die Anwender sich oft an anderen Systemen anmelden oder es eine "IT-Support"-Gruppe gibt, die auf jedem Client Administratorrechte benötigt, um beispielsweise Support zu leisten. Wie oben bereits angedeutet, ist es hierfür sinnvoll eine Gruppe im Active Directory zu erstellen, in der alle Benutzer enthalten sind, die Administratorrechte auf den Clients erhalten sollen. In meinem Beispiel habe ich eine Gruppe "IT" in der AD erstellt, in welcher der Benutzer "Peter Pustekuchen" Mitglied ist:

Außerdem habe ich eine OU "Clients" im AD, in der sich sämtliche Client-Computer befinden.

In der Gruppenrichtlinienverwaltung kann schließlich eine Gruppenrichtlinie erstellt, und mit der OU "Clients" verknüpft werden. In dieser kann unter Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen schließlich die entsprechende Gruppe hinzugefügt werden. In meinem Beispiel habe ich ja die Gruppe "IT" dafür angelegt:

Nach einem Klick auf "OK" lege ich noch fest, dass die Gruppe "IT" Mitglied der Gruppe "Administratoren" bzw. "Administrators" wird:

Jetzt sind künftig alle Mitglieder der Gruppe "IT" lokale Administratoren auf den Client-Computern, sofern diese sich in der OU "Clients" befinden.

Hinweis:
Wenn die GPO deaktiviert oder gelöscht wird, werden die Administrationsreche wieder entzogen.

Lokale Administratorrechte auf bestimmten Client

Damit Benutzer nur Adminrechte auf den eigenen Maschinen haben, erstelle ich wieder eine neue GPO und verknüpfe diese mit der OU, in der sich auch die Client-Computer befinden. In dieser navigiere ich zu Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen. Dort lege ich über das Kontextmenü eine neue lokale Gruppe an:

Da ich in diesem Beispiel möchte, dass der Benutzer "Rafael Nockmann" lokaler Administrator auf dem Client "CLIENT01" wird, gebe ich in dem Fenster den Gruppennamen und das Mitglied "rafael.nockmann" an:

Damit diese Einstellung wirklich nur für den Client "CLIENT01" gilt, muss ich eine Zielgruppenadressierung über den Reiter "Gemeinsam" definieren, in der ich den Computernamen angebe:

Schließlich erhalte ich folgende Übersicht:

Für jeden Anwender, der auf einen bestimmten Client lokale Adminrechte erhalten soll, kann dort eine weitere neue lokale Gruppe mit den entsprechenden Optionen hinzugefügt werden.

Hinweis:
Damit die Übersicht bei mehreren Anwendern nicht leidet, macht es Sinn in der Übersicht den Namen von "Administratoren (integriert)" in beispielsweise "Rafael Nockmann auf CLIENT01" umzubenennen.

Adminrechte entfernen, wenn GPO gelöscht wird

Wenn die GPO deaktiviert oder gelöscht wird, behalten die hinzugefügten Benutzer ihre Administrationsrechte. Um das zu verhindern, muss in den Eigenschaften des entsprechenden Eintrages in der Übersicht "Lokale Benutzer und Gruppen" unter dem Reiter "Gemeinsam" noch die Option "Element entfernen, wenn es nicht mehr angewendet wird." aktiviert werden. In dem nachfolgenden Dialog ist auf "Nein" zu klicken. Meiner Meinung nach macht diese Option in den meisten Fällen durchaus Sinn.

Wie verwaltet ihr lokale Administrationsrechte? Kennt ihr einen besseren Weg? Lasst es mich in den Kommentaren wissen 🙂

Über Rafael Nockmann

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Beitrag kommentieren

Bitte verfasse einen Kommentar.

Dein Kommentar wird vor der Freischaltung von einem Admin moderiert.