Wellicht ken je het wel : Je krijgt een netwerk onder je beheer waar alle Domain Users local admin rechten hebben.
Op hun computer kunnen ze dus alles doen en laten wat ze willen.
Als beheerder zijnde is dit 1 van de dingen die je eigenlijk niet wilt omdat je je netwerk beheersbaar wilt houden.
Maar hoe richt je nu op alle domein computers een Local Admin policy in ?
GPO Inrichten voor Local Admins
Als eerste log je in op de Domain Controller en start je daar de Group Policy Management op.
Ga dan naar Group Policy Objects en klik daar met de rechtermuisknop op.
Kies New om een nieuwe GPO te maken.
Geef deze een naam, bijvoorbeeld Replace Local Admins
Om de settings in deze policy samen te voegen met andere GPO’s, gaan we eerst naar :
Computer Configuration –> Policies –> Administrative Templates –> System –> Group Policy
Hier kiezen we de setting User Group Policy loopback processing mode
Deze zetten we op Enabled en de mode op Merge zodat deze settings worden samengevoegd met andere GPO’s
Nu gaan we naar het opzetten van de Local Admins
Ga hiervoor naar :
Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups
Klik hier dan met de rechtermuis knop, kies New –> Local Group
Dan kies je bij het veld action voor Update
Bij Group Name kies je uit het drop down menu de groep Administrators (built-in)
Deze setting zorgt er dan voor dat bij het uitvoeren van deze policy de lokale administrator groep op de computer wordt geupdate met de settings in de policy.
Dan kunnen we nu de Administrators groep naar eigen wens gaan inrichten.
Omdat je al weet dat er meerdere gebruikers local admins zijn en je deze rechten wilt weghalen, kun je er voor kiezen om alle bekende local admins te verwijderen via de GPO, maar eenvoudiger is om de Administrators groep helemaal opnieuw in te richten.
Dat betekend dus : Alle gebruikers en groepen er uit, daarna de Domain Administrators groep toevoegen, de local administrator toevoegen en dan een 2e domeingroep toevoegen waarin je local admins toe kunt wijzen.
Bij 1 : Vink delete all member users / groups aan
Dit zorgt er voor dat de Administrators groep helemaal leeg gemaakt wordt.
Dus alle reeds aanwezige local admins worden hierdoor verwijderd.
Bij 2 : Kies je door op Add te drukken de groepen en gebruikers die Local Admins mogen zijn.
Wil je een aparte groep maken waarin je gebruikers als Local Admins kunt toewijzen ?
Maak dan in de ADUC een nieuwe groep aan, bijvoorbeeld Local Admins en voeg daar de gebruikers aan toe.
Deze domein groep kun je dan weer toevoegen in de GPO.
Wanneer je de Local Admin groep ingericht hebt, sluit je alles af tot je weer terug bent in de Group Policy Management.
Blader nu naar de OU waar je je domein computers hebt staan.
Klik daar met de rechtermuisknop op en kies Link an Existing GPO…
Kies dan de Local Admin GPO die je zojuist hebt aangemaakt.
De GPO is nu gelinkt aan de OU :
De GPO is nu actief.
Je kunt afwachten tot de GPO’s gerepliceerd zijn waarna je een computer opnieuw start en test of dit werkt, of je gaat achter een computer zitten en forceert een Group Policy Update door een command prompt te starten en het volgende commando te gebruiken :
gpupdate /force
Dit duurt even en als het goed is worden de GPO’s dan toegepast.
Om te kijken of de Local Admin policy heeft gewerkt, gaan we naar het Configuratie Scherm –> Gebruikers accounts –> Gebruikersaccount beheren –> Tabblad Geavanceerd –> Knop Geavanceerd
In het scherm dat daarop volgt druk je aan de linkerkant op Groepen.
Aan de rechterkant zie je dan de groepen verschijnen.
Dubbelklik op Administrators en je ziet hier dat de instellingen van de GPO overgenomen zijn.
Dit werkt dus en vanaf nu heb je dan ook weer de controle over wie wel of geen local administrator is !
Een local admin kan alsnog een gebruiker toevoegen aan de Local Admin groep, maar aangezien deze group bij elke reboot of het toepassen van de GPO weer leeggemaakt wordt, is dat altijd alleen maar tijdelijk.
Moet er permanent een Local Admin toegevoegd worden ? Dan moet je deze aan de Local Admin groep in de Active Directory toevoegen.
Cheers !