LOKALE ADMINISTRATOREN IN ACTIVE DIRECTORY (AD) PER GPO
„Computerkonfiguration“>“Richtlinien“>“Windows-Einstellungen“>“Sicherheitseinstellungen“>“Eingeschränkte Gruppe“>“Rechtklick „Gruppe hinzufügen“ oder Auswahl „Administratoren“ und den (eigenen) lokalen Administratorennamen über „Hinzufügen…“ die Rechte geben.
Wozu braucht man einen lokalen Administrator in der AD?
Wir hatten bei uns im Netzwerk einen Computer in die Domäne gemeldet. Dieser Computer wurde wieder aus der Domäne abgemeldet. Anschließend war es so, dass ein selbstangelegter lokaler User „Admin“ keine Administratorenrechte mehr hatte. Der Defaultuser „Administrator“ war deaktiviert. Eine Neuanmeldung in die Domäne ist ohne Adminrechte nicht möglich. Die oben angewendete GPO greift auch nicht, weil der Computer nicht mehr in der Domäne ist. Die Lösung für das Problem war dann relativ einfach (unter Windows 7): Den PC im abgesicherten Modus starten, dann kann man sich einfach als „Administrator“ ohne Passworteingabe (!) einloggen und anschließend z.B. den User „Admin“ in die Gruppe der Administratoren einstellen. Es war dann auch möglich, den lokalen Defaultuser „Administrator“ zu aktivieren und ein Passwort zu geben. Das ging vorher nicht, weil der User „Admin“ keine Rechte dafür hatte.