6
Admin-Rechte für Benutzer ohne die Gruppe Administratoren zu verwenden
Hallo zusammen,
habe folgende Konfig:
W2k-Server (mit SP4)
Tobit DAVID V8+ (E-Mail / Fax/ die Postfächer werden auf dem Server gespeichert)
Das Problem:
Manche Dömänen-Benutzer brauchen zwingend Administratoren-Rechte, damit diverse Programme überhaupt laufen (schlecht programmiert ...)
Jetzt setzten wir seit neustem DAVID von der Firma Tobit ein. Damit die jeder Benutzer sein Postfach erhält, dürfen diese benutzer nicht der Gruppe "Administratoren" angehören. Ich soll laut der Tobit-Knowledge-Base eine neue Gruppe im AD anlegen, welche dann die selben Rechte wie die Gruppe "Administratoren" erhält.
Und da ist schon meine Frage.... wie erstelle ich eine Gruppe, welche Administratoren-Rechte erhält, ohne die Windows-eigene Gruppe "Administratoren" zu verwenden?
habe folgende Konfig:
W2k-Server (mit SP4)
Tobit DAVID V8+ (E-Mail / Fax/ die Postfächer werden auf dem Server gespeichert)
Das Problem:
Manche Dömänen-Benutzer brauchen zwingend Administratoren-Rechte, damit diverse Programme überhaupt laufen (schlecht programmiert ...)
Jetzt setzten wir seit neustem DAVID von der Firma Tobit ein. Damit die jeder Benutzer sein Postfach erhält, dürfen diese benutzer nicht der Gruppe "Administratoren" angehören. Ich soll laut der Tobit-Knowledge-Base eine neue Gruppe im AD anlegen, welche dann die selben Rechte wie die Gruppe "Administratoren" erhält.
Und da ist schon meine Frage.... wie erstelle ich eine Gruppe, welche Administratoren-Rechte erhält, ohne die Windows-eigene Gruppe "Administratoren" zu verwenden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 34126
Url: https://administrator.de/contentid/34126
Printed on: April 24, 2024 at 23:04 o'clock
6 Comments
Latest comment
Kopier doch einfach einen Admin oder eine Gruppe der Admins und schmeiss sie in die OU...
Hallo Simon80,
die Frage ist gut! Das ginge nur, wenn du eine neue Gruppe anlegst und dann überall dort, wo die Admins Rechte haben, diese neue Gruppe hinzu fügst. Das betrifft mindestens die Registry, das Dateisystem und die Sicherheitsrichtlinien.
Alternativ dazu würde ich doch eher versuchen heraus zu finden, warum und wo die Programme lesen oder schreiben Rechte brauchen. Dazu gibts es zunächts zwei interessante Tools. Zum einen Filemon und zum anderen Regmon (siehe http://www.systeminternals.com). Damit lässt sich ermitteln, wo der Zugriff verweigert wird. Danach musst du nur noch die entsprechenden Berechtigung in der Registry und im Filesystem setzen. Das könntest du für eine eigens dafür geschaffene Gruppe tun und der einfachkeit halber über Gruppenrichtlinien.
Gruß
meto
die Frage ist gut! Das ginge nur, wenn du eine neue Gruppe anlegst und dann überall dort, wo die Admins Rechte haben, diese neue Gruppe hinzu fügst. Das betrifft mindestens die Registry, das Dateisystem und die Sicherheitsrichtlinien.
Alternativ dazu würde ich doch eher versuchen heraus zu finden, warum und wo die Programme lesen oder schreiben Rechte brauchen. Dazu gibts es zunächts zwei interessante Tools. Zum einen Filemon und zum anderen Regmon (siehe http://www.systeminternals.com). Damit lässt sich ermitteln, wo der Zugriff verweigert wird. Danach musst du nur noch die entsprechenden Berechtigung in der Registry und im Filesystem setzen. Das könntest du für eine eigens dafür geschaffene Gruppe tun und der einfachkeit halber über Gruppenrichtlinien.
Gruß
meto
Hallo meto,
danke erstmal für die schnellen Tipps.... die Variante mit filemon + regmon würde den Rahmen sprengen, da es schon einige Programme sind, die die Admin-Rechte benötigen (u.a. Buchaltungsprogramme mit importfunktion aus Fakturierung, Banking-Software etc.)
Deswegen wäre die Variante mit der neuen Gruppe schon interessanter. Leider kann man ja nicht einfach die Gruppe der Administratoren kopieren und umbenennen... Gibt es denn keinen einfachereren Weg eine neue Gruppe mit den original Rechten anzulegen?
Schönen Gruß
Simon80
danke erstmal für die schnellen Tipps.... die Variante mit filemon + regmon würde den Rahmen sprengen, da es schon einige Programme sind, die die Admin-Rechte benötigen (u.a. Buchaltungsprogramme mit importfunktion aus Fakturierung, Banking-Software etc.)
Deswegen wäre die Variante mit der neuen Gruppe schon interessanter. Leider kann man ja nicht einfach die Gruppe der Administratoren kopieren und umbenennen... Gibt es denn keinen einfachereren Weg eine neue Gruppe mit den original Rechten anzulegen?
Schönen Gruß
Simon80
Eine Gruppe Admin-Neu (oder so) anlegen und dieser Gruppe die Gruppe "Administratoren" hinzufügen funktioniert nicht?
MfG
TM
MfG
TM
Nein, leider nicht... Hatte ich schon ausprobiert, aber sobald ich die Windows-Gruppe "Administratoren" der Gruppe hinzugefügt wird, habe ich wieder das selbe problem...
Damit wäre der Benutzer automatisch Mitglied der Gruppe Administratoren. Das wird nicht funktionieren.
Aus Gründen der Sicherheit würde ich sowieso nicht jedem Benutzer die gleichen Rechte wie die des Administrators geben!! Und um es sauber hinzubekommen, gehts nur so wie beschrieben.
Aus Gründen der Sicherheit würde ich sowieso nicht jedem Benutzer die gleichen Rechte wie die des Administrators geben!! Und um es sauber hinzubekommen, gehts nur so wie beschrieben.
