Gruppe der lokale Administratoren im Griff?

Aus aktuellem Anlass sah ich mich gezwungen, mir Gedanken darüber zu machen, wie ich die Gruppe der lokalen Administratoren um verschiedene Objekte erweitern (u/o bereinigen) kann.

Die Anforderung und daraus resultierende Bestrebungen sind

  • die Mitglieder der Gruppen zu vereinheitlichen
  • ein Computerkonto hinzuzufügen
  • dem lokalen Benutzer „on demand“ Administratorenrechte geben zu können
  • zentrale Steuerung über Gruppenrichtlinien
  • Entfernen aller anderen Benutzer und Gruppen

Die Verwendung von Gruppenrichtlinien ist maßgeblich für den letzten Punkt: Das Entfernen aller anderen Benutzer und Gruppen aus der Gruppe der lokalen Benutzer, denn entsprechend dem Poll Intervall von gpupdate wird die Gruppe neu aufgebaut und bereinigt. Aber von Anfang an:

Vereinheitlichung

Damit gemeint ist, dass alle Domänen-Computer über gleiche Berechtigungen verfügen; zudem zentral gesteuert.

Das Anlegen einer GP erfolgt im Gruppenrichtlinienverwaltungs-Editor. Unter Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen

lok_group_2

Dort wird gem. Ablauf in der Abbildung der Gruppenname Administratoren (integriert) ausgewählt. Beschreibung ist optional. Aktion Aktualisieren bleibt bestehen.

Unter Mitglieder wird das vordefinierte Administratoren-Konto hinzugefügt. Dazu wieder dem Ablauf der Abbildung folgen.

lok_group_3

Durch das Schließen der Dialoge mit Ok steht in dem Feld dann DOMAIN\Administrator mit der Aktion ADD und seiner SID.

lok_group_4

In dieser ersten (und nur der ersten) Restricted Group werden die beiden Flags Alle Mitgliederbenutzer löschen und Alle Mitgliedergruppen löschen gesetzt. Damit ist der letzte Punkt sicher gestellt. Nach jeder Aktualisierung der GPs (gpupdate) werden alle neu hinzugefügten Elemente aus der Gruppe gelöscht. In den nachfolgenden Gruppen dürfen diese Flags nicht mehr gesetzt werden, der Logik folgend würden sonst die vorherigen (gerade) angelegten Gruppen wieder entfernt werden.

Domänen-Admins > ?

Hier ist natürlich Achtung gefragt! Vergisst man die Gruppe kann das zur Folge haben, dass der Domänen-Admin den Titel „Herrscher aller Reusen“ verliert. Daher wird in der GP der Prozess zum Hinzufügen Mitglieder erneut durchlaufen. Anstatt Administrator schreibt man diesmal

lok_group_5neu

in das entsprechende Feld. Die anderen Schritte analog unter Berücksichtigung der Flags (nicht setzen!). Das geschieht wie oben zu sehen unter zur Hilfenahme der systemdefinierten Variablen %DomainName%.

Computerkonto hinzufügen

Auch hier werden wieder im Bereich Mitglieder den Button Hinzufügen anklicken. Allerdings verpackt man hier das Computer-Konto in einer entsprechenden Sicherheits-Gruppe. Direkte Versuche scheitern (social.technet.microsoft.com).

Jetzt wird es spannend

Alan Burchill geht in seinem Blog einen spannenden Ansatz auf den ich nicht weiter eingehe. In meiner kleinen Umgebung gehe ich aber einen anderen. Und zwar den von Miriam Wiesner über das Verwaltet von Register in den Eigenschaften eines jeden Computer Objekts im AD.

Mit einer Erweiterung der obigen GP kann über dieses Feld ein lokaler Administrator, bspw. in Form des Computer-Benutzers zum lokalen Adminstrator gemacht werden:

lok_group_6

Der hier eingetragene Benutzer wird ebenfalls als Mitglied hinzugefügt.

2. Gruppe hinzufügen

Mit der mittlerweile vorhandenen Routine wird eine zweite Gruppe hinzugefügt (also nicht nur ein Mitglied zu einer Gruppe).

lok_group_7.png

Das das potentielle Mitglied %managedByUser% (Variable) in einer eigenen Gruppe liegt, hängt damit zusammen, dass im Register Gemeinsam Anpassungen vorgenommen werden müssen. Hier ist das Flag Zielgruppenadressierung auf Elementebene zu setzen. Dann wird der Zielgruppenadressierungseditor geöffnet, durch klick auf den Button Zielgruppenadressierung…

Unter Neues Element wird eine LDAP-Abfrage erstellt.

Filter:

(&(objectCategory=computer)(objectClass=computer)(cn=%ComputerName%))

Bindung:

LDAP:

Attribut:

managedBy

Umgebungsvariablenname:

managedBy

Dann ein weiteres Neues Element als LDAP-Abfrage

Filter:

(&(objectCategory=user)(objectClass=user)(distinguishedName=%managedBy%))

Bindung:

LDAP:

Attribut:

sAMAccountName

Umgebungsvariable:

managedByUser

Jetzt kann es losgehen

Damit wird der lokale Benutzer zum lokalen Administrator, falls gewünscht.

Update:

Bei Filter muss das & alleine stehen, nicht &. Diese HTML-Ersetzung schmuggelt sich immer wieder dazwischen, wenn der Beitrag editiert wird.


Beitrag veröffentlicht

in

, , ,

von

Kommentare

Schreibe einen Kommentar