d46505pl
16.07.2010
view12087
view24
0
Goto Top

Administrator - Zuwenig Rechte auf dem Client-PC

gelöstFrageMicrosoftWindows Server
Wenn ich auf einem Client PC ein Programm installieren möchte und mich mit dem zweiten Administrator Account diese Installation freigeben möchte kommt die Meldung
"Diese Aktion erfordert höhere Rechte", obwohl der Benutzer eigentlich alle Rechte drauf hat.
Gebe ich hier nun den Originalnamen "Administrator" ein, geht es.

Hallo Zusammen,

ich habe auf einem Windows Server 2008 einen Domain Controller installiert und zwei Windows 7 Client's eingebunden.
Auf dem Server habe ich mehrere Benutzeraccounts erstellt, mit denen ich mich am Client auch einloggen kann.
Den Benutzer "Administrator" habe ich kopiert (geclont) und somit einen zweiten Administrator Account erstellt.

Wenn ich auf einem Client PC ein Programm installieren möchte und mich mit dem zweiten Administrator Account diese Installation freigeben möchte kommt die Meldung
"Diese Aktion erfordert höhere Rechte", obwohl der Benutzer eigentlich alle Rechte drauf hat.
Gebe ich hier nun den Originalnamen "Administrator" ein, geht es.

Woran kann das liegen!?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 147019

Url: https://administrator.de/contentid/147019

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

24 Kommentare
Neuester Kommentar
Goto Top
60730
60730 16.07.2010 um 01:38:25 Uhr
Goto Top
moin,

Den Benutzer "Administrator" habe ich kopiert (geclont) und somit einen zweiten Administrator Account erstellt.
Ich bin mal so frei und schreib - Klonen ist scheisseSupersuboptimal. Machs doch bitte richtig.
  • Neuen Benutzer anlegen und dem Adminrechte geben.

Und ganz ehrlich ich wüßte eigentlich auch keinen Grund, warum man auf einem Client zwei lokale Admins braucht.
Von daher - ists wahrscheinlicher, dass du den ganzen Towuhabohu gar nicht brauchst.....

Gruß
D46505Pl
D46505Pl 16.07.2010 um 01:43:26 Uhr
Goto Top
hmmmm.... Vom prinzip her brauche ich lokal gar keinen Admin user.
Ich möchte mich mit einem Serveradminkonto auf den Clients legitimieren und wenn ich das Serveradminpasswort ändere ist es automatisch überall mitgeändert.
Wenn ich überall einen lokalen Admin anlege, muss ich wieder rumrennen und überall das pwd ändern, was keine Lösung darstellt.

Ich habe den klon Admin gelöscht und per Hand neu angelegt, jedoch habe ich nach wie vor die gleiche Fehlermeldung: Zu wenig rechte...
Razalduria
Razalduria 16.07.2010 um 06:49:28 Uhr
Goto Top
Der lokale Administrator auf einem Client in der Domäne ist NICHT lokal auf dem Client eingerichtet, sondern Du räumst dem entspr. DOMÄNENBENUTZER (bzw. DOMÄNENADMIN) lokale Administrationsrechte auf dem Client ein.

Da mußt Du nicht von PC zu PC rennen und Passwörter ändern...?!?

Und da der "erste" Deiner Admins schon lokale Adminrechte auf dem Client hat, brauchst Du (wie Timo schon schreibt) eigentlich den ganzen Aufwand gar nicht betreiben...
epiclulz
epiclulz 16.07.2010 um 07:15:42 Uhr
Goto Top
ich verstehe nicht so ganz was du mit "zweiter benutzer geclont" meinst.

domänenadmins haben normalerweise automatisch lokale adminrechte.

sollte dir das nicht genug sein, kannst du beliebige domänen-accounts zu lokalen admins machen indem du sie in die gruppe administratoren auf dem jeweiligen client hinzufügst.

gruss
60730
60730 16.07.2010 um 07:50:02 Uhr
Goto Top
Moin,
Zitat von @D46505Pl:
hmmmm.... Vom prinzip her brauche ich lokal gar keinen Admin user.
  • Prinzipiell bezweifele ich diese Aussage und negiere Sie

Ich möchte mich mit einem Serveradminkonto auf den Clients legitimieren und wenn ich das Serveradminpasswort ändere ist es automatisch überall mitgeändert.
Das ist ja auch Sinn und Zweck einer Domain - oder meinst du du willst Dienste via domain"User" starten? - Wenn ja - dazu nimmt man einen eigenen (eingeschränkten) Admin - und nicht den, dessen Passwort auch mal bei einer UsersSchautAdminÜberDieSchulterNummer hergenommen wird.
Wenn ich überall einen lokalen Admin anlege, muss ich wieder rumrennen und überall das pwd ändern, was keine Lösung darstellt.
? Der lokale Admin ist eh überall (außer auf einem DC) angelegt und wenn man einigermaßen schlau ist - hat der lokale und der Domainadmin nicht das gleiche Passwort.
Anyway - mal eben auf allen Domain Clients das Passwort vom lokalen User (auch der Administrator ist ein User, der hat nur höhere Rechte) zu ändern ist doch ein Klacks, für den man das Firmenmopped nicht anwerfen muß.

Ich habe den klon Admin gelöscht und per Hand neu angelegt, jedoch habe ich nach wie vor die gleiche Fehlermeldung: Zu wenig rechte...

Wie genau hast du denn das gemacht und hast du dem Adminrechte gegeben?
Und wenn du schon mal dabei bist - erklär uns doch mal, was du mit:
ein Programm installieren möchte und mich mit dem zweiten Administrator Account diese Installation freigeben möchte

Gruß
D46505Pl
D46505Pl 16.07.2010 um 11:56:32 Uhr
Goto Top
Hallo,

ich habe dem User folgende Rechte zugewiesen:

http://img541.imageshack.us/img541/6406/mitgliedvon.png

In den Client Systemen ist unter der Gruppe "Administratoren" die Gruppe "Domain/Domänen-Admins" eingetragen.

Sobald das Funktioniert, soll der User "Administrator" deaktiviert werden (aus Sicherheitsgründen).
DerWoWusste
DerWoWusste 16.07.2010 um 12:04:04 Uhr
Goto Top
Hi.
Was noch nicht genannt wurde:
Seit Vista und auch bei Win7 hat nur das eingebaute Konto "Administrator" ohne Weiteres alle Rechte. Die anderen Adminkonten inklusive Domänenadmin müssen darauf vertrauen, dass sich die Programme schon per UAC-Anfrage melden, wenn sie z.B. zur Installation hohe Rechte brauchen - ohne Weiteres sind nämlich alle Admins (erneut: außer "Administrator") nur normale User.

Hast Du ein Setup einer nicht UAC-bewussten Software, ist das Verhalten also normal. Dann könnte sich der Zweitadmin behelfen, indem er dies Setup per Rechtsklick startet und wählt "als Administrator ausführen" - dies triggert nämlich die UAC manuell an.
D46505Pl
D46505Pl 16.07.2010 um 12:13:27 Uhr
Goto Top
Hi,

auch mit rechtsklick und "als Administrator ausführen" meldet er auch wieder "höhere rechte erforderlich".

Noch eine Idee, wie ich den anderen Benutzer frei bekomme?

Selbst wenn ich den Administrator User "umtaufe" funktioniert es nicht...
DerWoWusste
DerWoWusste 16.07.2010 um 12:19:49 Uhr
Goto Top
Du schreibst nicht, ob es bei allen Setups so ist. Die ganz blöden Programmierer von Setups machen eine Abfrage "heißt der Benutzer Administrator" und stoppen, wenn das nicht gegeben ist.
Wenn das bei allen Setups so ist, würde ich den PC abschreiben und neu aufsetzen.
D46505Pl
D46505Pl 16.07.2010 um 12:22:43 Uhr
Goto Top
Es betrifft sämtliche Setups, und sämtliche Aktionen (z.B. eine Verknüpfung vom Desktop entfernen)
Hier lassen sich nicht alle direkt löschen, manche wollen ein Admin Login.
DerWoWusste
DerWoWusste 16.07.2010 um 12:35:51 Uhr
Goto Top
Schreib das Ding ab. Letzte Frage noch: Gibt Dir das Kommando
net user %username%
denn noch aus, dass er Mitglied von "Administratoren" ist?
D46505Pl
D46505Pl 16.07.2010 um 12:46:59 Uhr
Goto Top
Jip:

Benutzername sys
Vollständiger Name sys
Beschreibung
Benutzerbeschreibung
Ländereinstellung 000 (Standardsystemvorga
Konto aktiv Ja
Konto abgelaufen Nie

Letztes Setzen des Kennworts 16.07.2010 00:42:07
Kennwort läuft ab Nie
Kennwort änderbar 17.07.2010 00:42:07
Kennwort erforderlich Ja
Benutzer kann Kennwort ändern Ja

Erlaubte Arbeitsstationen Alle
Anmeldeskript
Benutzerprofil
Basisverzeichnis
Letzte Anmeldung 16.07.2010 12:44:43

Erlaubte Anmeldezeiten Alle

Lokale Gruppenmitgliedschaften *Administratoren
Globale Gruppenmitgliedschaften *Richtlinien-Ersteller
*Domänen-Benutzer
*Organisations-Admins
*Schema-Admins
*Domänen-Admins
Der Befehl wurde erfolgreich ausgeführt.


Das oben kommt, wenn ich die Abfrage am Server ausführe.
DerWoWusste
DerWoWusste 16.07.2010 um 12:55:48 Uhr
Goto Top
Am Server interessiert hier nicht, Du installierst am Client.
D46505Pl
D46505Pl 16.07.2010 um 12:57:06 Uhr
Goto Top
Hier kommt:
Der Benutzername konnte nicht gefunden werden.
Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2221 eingeben.


Obwohl ich sogar damit gerade eingeloggt bin...
DerWoWusste
DerWoWusste 16.07.2010 um 13:12:57 Uhr
Goto Top
Das ist normal, ist ja kein lokaler Nutzer, sorry, da hab ich auch gepennt. Du müsstest hier also lediglich schauen, ob die Domänenadmins in der lokalen Admingruppe sind, was sie ja bei Domänenbeitritt automatisch sein müssten.
D46505Pl
D46505Pl 16.07.2010 um 13:27:49 Uhr
Goto Top
Hi,

ja, die Gruppe ist dort hinterlegt:

http://img291.imageshack.us/img291/9216/domadmin.png
DerWoWusste
DerWoWusste 16.07.2010 um 13:38:41 Uhr
Goto Top
Ok, letzter Schritt bevor Du ihn in die Tonne kloppen solltest:
nutze als dieser Benutzer am Client erneut die Kommandozeile mit
gpresult
damit wird Dir auch angezeigt, in welchen Gruppen sich der Nutzer glaubt - Domänenadmins müssten dabei sein. Ist das der Fall, muss es gehen - tut es aber nicht - weg damit.
D46505Pl
D46505Pl 16.07.2010 um 13:43:16 Uhr
Goto Top
da fehlt noch was, bei dem Befehl:

GPRESULT [/S System [/U Benutzername [/P Kennwort]]] [/SCOPE Bereich]
[/USER Zielbenutzername] [/R | /V | /Z] [(/X | /H) <Dateiname> [/F]]
DerWoWusste
DerWoWusste 16.07.2010 um 13:49:07 Uhr
Goto Top
Ab Vista muss man gpresult /r schreiben, richtig.
D46505Pl
D46505Pl 16.07.2010 um 13:54:34 Uhr
Goto Top
Ah, perfekt:

Hier kommt was:

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Am 16.07.2010, um 13:52:33 erstellt


RSOP-Daten für srv24\user1 auf PC1: Protokollmodus

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 6.1.7600
Standortname: Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil: C:\Users\user1.srv24
Langsame Verbindung? Nein


BENUTZEREINSTELLUNGEN
CN=user1,CN=Users,DC=srv24,DC=local
Letzte Gruppenrichtlinienanwendung: 16.07.2010, um 13:21:09
Gruppenrichtlinieanwendung von: srv24-local.srv24.local
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: srv24
Domänentyp: Windows 2000

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Nicht zutreffend

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Default Domain Policy
Filterung: Nicht angewendet (Leer)

Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domänen-Benutzer
Jeder
Benutzer
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
Mittlere Verbindlichkeitsstufe
D46505Pl
D46505Pl 16.07.2010 um 13:58:03 Uhr
Goto Top
Sorry... Hab eben gepennt. Muss das ja mit dem Adminuser machen...

HIer nochmal:


Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.
Copyright (C) Microsoft Corp. 1981-2001

Am 16.07.2010, um 13:56:27 erstellt


RSOP-Daten für srv24\sys auf PC1: Protokollmodus

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 6.1.7600
Standortname: Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil: C:\Users\sys.srv24
Langsame Verbindung? Nein


BENUTZEREINSTELLUNGEN
CN=sys,CN=Users,DC=srv24,DC=local
Letzte Gruppenrichtlinienanwendung: 16.07.2010, um 13:55:01
Gruppenrichtlinieanwendung von: srv24-local.srv24.local
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: srv24
Domänentyp: Windows 2000

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Nicht zutreffend

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Default Domain Policy
Filterung: Nicht angewendet (Leer)

Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domänen-Benutzer
Jeder
Benutzer
Administratoren
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
Richtlinien-Ersteller-Besitzer
Domänen-Admins
Organisations-Admins
Schema-Admins
Abgelehnte RODC-Kennwortreplikationsgruppe
Hohe Verbindlichkeitsstufe
DerWoWusste
DerWoWusste 16.07.2010 um 14:08:08 Uhr
Goto Top
muss ich's nochmal schreiben? : ) Hau ihn weg, da ist der Wurm recht tief drin.
D46505Pl
D46505Pl 16.07.2010 um 14:10:20 Uhr
Goto Top
lol

@DerWoWusste : Die Lösung erscheint mir dann doch nicht so recht sinnvoll ;)
D46505Pl
D46505Pl 19.07.2010 um 16:25:05 Uhr
Goto Top
Hi,

ich habe nun doch noch mal das System neu aufgesetzt.
Nun klappt alles.

Danke für Eure Tipps face-smile
gelöstFrageMicrosoftWindows Server
Mehr von D46505PlD46505PlNTFS-Berechtigungen und Zugriffssteuerung: Tipps und Lösungen gesuchtD46505Pl - 7 KommentareD46505PlDateiübertragung Zwischenablage und letzte Downloads öffnenD46505PlD46505PlAbsenderlogo im OutlookD46505Pl - 2 KommentareD46505PlGPO Hintergrund und SperrbildschirmD46505Pl - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare