Mittwoch, 1. September 2010

Aus aktuellem Anlass... Restricted Groups GPO

Restricted Groups GPO...

Gibt es einmal ersetzend:

...und einmal ergänzend:


Großer Unterschied.


Ergänzend: Alle lokalen Admins, die es vorher schon gab bleiben erhalten. Alle Benutzer die Mitglied der definierten Gruppe sind, werden lokale Admins. Der lokale Admin bleibt immer drin. Domain Admins bleiben immer drin.
Ersetzend: ALLES fliegt raus, danach(!) wird die GPO angewendet, und alle Benutzer kommen in die lokale Admin Gruppe rein. Der lokale Admin bleibt immer drin. Domain Admins bleiben immer drin.

1.) Ergänzend
Effekte:
ändert die Datei  \\<dc>\SYSVOL\gurumeditation.local\Policies\{GPO-GUID}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf im Teil
*S-1-5-32-522__Memberof = ...

=> Restricted Groups GPO (ergänzend) wirkt:
Neue Benutzer innerhalb der definierten Gruppe werden lokale Admins.

=> Restricted Groups GPO (ergänzend) wirkt nicht mehr:
Benutzer, die innerhalb der definierten Gruppe waren, fliegen aus der Lokalen Admin Gruppe raus. Alle Benutzer / Gruppen die vorher lokale Admins waren sind es wieder.

2.) Ersetzend
Effekte:
ändert die Datei  \\<dc>\SYSVOL\gurumeditation.local\Policies\{GPO-GUID}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf im Teil 
*S-1-5-32-522__Members = ...

=> Restricted Groups GPO (ersetzend) wirkt:
ALLE Benutzer bzw. Gruppen die nicht definiert sind fliegen raus.
Multilingual: unter Umständen (wenn man die GPO vom Client aus editiert, nicht vom DC) wird nicht die well-known SID des lokalen Admins (*S-1-5-32-544) sondern der String "Administrator" bzw. beispielsweise im spanischen "Administrador" oder sonstwie in der Datei \\<dc>\SYSVOL\gurumeditation.local\Policies\{GPO-GUID}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf, die effektiv die vom Client angewendete GPO ist, geschrieben. Danach ist es schluss mit lustig, sobald man mehrsprachige Clients hat.

=> Restricted Groups GPO (ersetzend) wirkt nicht mehr:
Benutzer, die innerhalb der definierten Gruppe waren, fliegen aus der Lokalen Admin Gruppe raus. Alle Benutzer / Gruppen die vorher lokale Admins waren sind es wieder.


Fazit: Selbe Wirkungsweise, wenn die GPO nicht mehr wirkt.

Diese Verhaltensweise ist konsistent zwischen Windows XP und Windows 7. Auf die Erwähnung oder gar evaluierung von Windows Vista verzichte ich aus Glaubensgründen sowie massiven Antipathiegründen. ;-)

Siehe auch: Liste der Well-known SIDs
Eingestellt von um

1 Kommentar:

  1. Anonym26. Oktober 2010 um 22:40

    Gilt selbstverständlich nicht nur bei der lokalen Administratorgruppe, sondern auch bei allen anderen lokalen Standardgruppen.

    Guter Beitrag!
    Gruß
    Matt

    AntwortenLöschen

Abonnieren Kommentare zum Post (Atom)