GPO – per Gruppenrichtlinie lokale Nutzer und Gruppen bearbeiten

Wer auf allen seiner an das Active-Directory angebundenen Windows-Clients speziellen Nutzern lokale Adminrechte geben oder aufgrund neuer Sicherheitsrichtlinien der lokale Administrator umbenennen muss, kann auch diese Tätigkeiten mit den Gruppenrichtlinien schnell und einfach umsetzen.

In der Praxis würde man dafür nicht einzelne GPO’s machen sondern eher eine für Server und eine für Clients die gleich mehrere Dinge zum dem Thema regelt:

  • lokalen Nutzer Administrator umbenennen
  • spezielle lokale Nutzer deaktivieren
  • spezielle AD-Gruppen zu der lokalen Gruppe „Administratoren“ hinzufügen und alle anderen Mitglieder entfernen

lokalen Administrator oder Gast per Gruppenrichtlinie (GPO) umbenennen

Wir legen uns ein neues Gruppenrichtlinien Objekt unterhalb der „Computers“ OU an und nennen es „rename local Administrator“.

Anschließend bearbeiten die die GPO und nehmen wir im Screenshot links dargestellt die Einstellungen vor.

Entweder benennen wir den bestehenden Nutzer „Administrator“ wirklich oder wie deaktivieren diesen

Computer Configuration > Preferences > Control Panel Settings > local Users and Groups

Das Selbe kann man auch etwas anders lösen über Computer Configuration > Windows Settings > Security Settings >Local Policies > Accounts: Rename Administrator Account

Achtung Fallstrick! Event ID: 4098: Beim Testen der GPO bin ich auf einen Fehler oder eher Phänomen gestoßen. Wenn der lokale Nutzer „Administrator (built-in)“ noch kein Passwort hat, wie es neu Neuinstallationen von Windows 10 der Fall ist, kann der Nutzer nicht umbenannt werden, weil das nicht vorhandene Passwort nicht den Passwortrichtlinien entspricht.

Nutzer zu der lokalen Administratoren Gruppe per Gruppenrichtlinie hinzufügen

Auch hier für legen wir uns eine neue Gruppenrichtlinie „config local administrators“ an und bearbeiten die anschließend. Wichtig, ihr könnt nicht einfach beliebige Namen und Werte reinschreiben. Das wird nicht funktionieren. Ihr müsst tatsächlich im Bereich „Members“ auf „ADD“ und dann den korrekten Nutzer über den Button „…“ suchen!

An dieser Stelle könntet ihr auch mit dem Aktivieren der Checkbox „delete all member users / groups“ dafür sorgen, dass nur der eingestellte Nutzer oder eingestelle AD-Gruppen in der lokalen Gruppen sind. Lokale Manipulationen könnte darüber ausschließen!

Computer Configuration > Preferences > Control Panel Settings > local Users and Groups

lokalen Administrator Account und Gast Account deaktivieren

Wer die lokalen Accounts „Administrator“ und „Gast“ deaktivieren möchte, kann dies ebenfalls einfach per GPO erledigen.

Variante 1 – über Security Settings

Computer Configuration > Windows Settings > Security Settings >Local Policies > Accounts: Administrator account status

Variante 2 – über Local Users and Groups

Computer Configuration > Preferences > Control Panel Settings > local Users and Groups

lokale restriktive Gruppen per Gruppenrichtlinie (GPO) bearbeiten

Natürlich kann man über die oben genannte Wege nicht alle lokalen Gruppen einer Windows-Maschine bearbeiten. Das wäre wohl zu einfach. Es gibt auch noch restriktive Gruppen zu denen die Remote-Desktop-User und Remotemanagement-Gruppen zählen.

In der GPO findet ihr die notwendigen Einstellungen Computer Configuration > Policies > Windows Settings > Security Settings -> restrictive Groups

Wie ihr bestimmten AD-Nutzern über eine AD-Gruppe erlaubt, remote Maschinen per Powershell zu beglücken, könnt ihr auf der folgenden Seite nachlesen

weitere Beiträge über die Gruppenrichtlinie (GPO)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.