jstar5588
Goto Top

Administratorrechte an Benutzer innerhalb der Domain übertragen

Hallo Zusammen,

ich habe folgendes "Problem", welches ich zwar anderweitig selbst lösen kann allerdings würde ich trotzdem gerne wissen warum ich erstmal so nicht weiterkomme.

Umgebung:
Windows Server 2019 gleichzeitig der Domänencontroller
Windows 10 - Client

Mit dem Windows 10 Client befinde ich mich in besagter Domäne, wenn ich nun gewisse Windows-Einstellungen verändern möchte ploppt die Benutzerkontensteuerung auf und ich regelte das bisher immer mit dem "Administrator"-Konto.

Nun wollte ich den Administrator allerdings für so etwas ruhen lassen und einen Benutzer aus der Organisation, also mich selbst mit erhöhten Rechten ausstatten.
Ich ging also in die Active Directory und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins", desweiteren ist er auch immer noch in der Gruppe "Domänen-Benutzer".

Wenn ich nun meinen Benutzer in der Benutzerkontensteuerung eintrage erscheint immer die Meldung "Dieser Vorgang erfordert erhöhte Rechte".

Ich habe mir mal den Administrator in der AD angesehen und festgestellt dass dieser noch Mitglied von ein paar Gruppen mehr ist:
Administratoren
Domänen-Admins
Domänen-Benutzer
Organisations-Admins
Richtlinien-Ersteller-Besitzer
Schema-Admins

Wenn ich nun zum Test einen komplett neuen Benutzer in der AD unter "Users" erstelle, dort wo also auch der Administrator liegt, und diesen dann in "Domänen-Admins" eintrage klappt es und ich kann mit diesen neuen Benutzer auf dem Client die Einstellungen tätigen.

Wieso klappt es mit meinem eigenen Benutzer nicht? Was mache ich falsch oder übersehe ich?

Content-ID: 1182705440

Url: https://administrator.de/forum/administratorrechte-an-benutzer-innerhalb-der-domain-uebertragen-1182705440.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

jstar5588
Lösung jstar5588 22.08.2021 aktualisiert um 12:13:51 Uhr
Goto Top
Okay, sorry....

Ein Restart des Clients und wahrscheinlich die daraus resultiernde Neuanmeldung des Benutzers brachte den gewünschten Erfolg
Xerebus
Xerebus 22.08.2021 um 12:20:41 Uhr
Goto Top
Echt jetzt?
"und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins""

Da macht man einen lokalen Admin für den/die Clients.
radiogugu
radiogugu 22.08.2021 aktualisiert um 12:23:26 Uhr
Goto Top
Hallo.

Ein Hinweis der Warnung:

Einem Benutzer diese Gruppen zu zuweisen kann Probleme machen.

Da es bei dir wahrscheinlich um eine Testumgebung handelt nicht weiter schlimm, aber so etwas sollte man nicht in produktiven Systemen konfigurieren.

Beispielsweise Active Sync zu einem Exchange Server funktioniert nicht aufgrund der vererbten Berechtigungen innerhalb der Domäne.

Generell gilt aber:

Einem Benutzer lokale Admin-Rechte zu geben ist aus Sicht der Sicherheit nie eine gute Idee.

Früher benötigten Anwendungen wie Datev oder CAD/CAM Programme immer lokale, administrative Rechte, das ist aber zum Glück weitestgehend nicht mehr der Fall.

Gruß
Marc
em-pie
Lösung em-pie 22.08.2021 um 12:37:26 Uhr
Goto Top
Zitat von @Xerebus:

Echt jetzt?
"und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins""

Da macht man einen lokalen Admin für den/die Clients.

Und/ oder richtet einen eigenständigen User für administrative Zwecke ein.
Mal angenommen D. Ilbert ist der IT-Administrator im Unternehmen.
hat sein User dilbert Adminrechte (egal ob lokal oder domainweit) und er fängt sich etwas ein, hat das mitunter weitreichende Konsequenzen.
Wenn D. Ilbert aber einen zusätzlichen Admin-User hat (adm_di), sind die Auswirkungen bei einer Infektion über den User dilbert geringer, da der User dilbert keine (globalen) Adminrechte hat.

Gruß
em-pie
jstar5588
jstar5588 22.08.2021 um 12:55:19 Uhr
Goto Top
Danke für die Hinweise, ich erstelle dann tatsächlich einen neuen User für diese Zwecke
Lochkartenstanzer
Lochkartenstanzer 22.08.2021 aktualisiert um 15:16:22 Uhr
Goto Top
Zitat von @jstar5588:

Okay, sorry....

Ein Restart des Clients und wahrscheinlich die daraus resultiernde Neuanmeldung des Benutzers brachte den gewünschten Erfolg

Das ist auch kein Wunder. Änderungen am Benutzer im AD greifen erst, wenn der Benutzer sich abmeldet und am AD wieder frisch anmeldet.


Zitat von @jstar5588:

Ich ging also in die Active Directory und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins", desweiteren ist er auch immer noch in der Gruppe "Domänen-Benutzer".

Wenn ich nun meinen Benutzer in der Benutzerkontensteuerung eintrage erscheint immer die Meldung "Dieser Vorgang erfordert erhöhte Rechte".

Ich habe mir mal den Administrator in der AD angesehen und festgestellt dass dieser noch Mitglied von ein paar Gruppen mehr ist:
Administratoren
Domänen-Admins
Domänen-Benutzer
Organisations-Admins
Richtlinien-Ersteller-Besitzer
Schema-Admins

Es ist eine ganz schlechte Idee, einen regulären User zum Admin zu machen. Standard ist es, dafür extra einen extra Admin-User anzulegen.

Wenn Du alsr regulärer User administrative Rechte hast, kann Dir Malware ganz einfach Tretminen unterschieben. Und das geht sogar so, daß Du es trotz UAC nicht merkst.

lks
TomTomBon
TomTomBon 23.08.2021 um 10:01:47 Uhr
Goto Top
Kleine Anmerkung:
MS selbst sagt, Ich habe den Link leider nicht gespeichert, das UAC KEIN sicherheitsfeature ist!
Es ist dafür gedacht das Anwender:innen darauf hingewiesen werden das sie was starten damit.
Der "echte " Administrator hat die UAC aber zB gar nicht.

Wie lästerte ein Linux Admin einmal gegenüber einem Admin von MS der dem nicht widersprach:
Unter Windows sind die unterschiedlichen Benutzerkonten weniger zu Sicherheitszwecken (administrator einmal ausgenommen) als vielmehr zu organisatorischen Zwecken.
Damit nicht User 1 auf die privaten Daten von User 2 kommt.
Wer versucht hat unter Linux einmal Daten zu sichern wo das PW abhanden gekommen ist..
Es geht. Aber der aufwand ist GANZ anders als unter Windows face-wink

Davon einmal abgesehen.
Änderungen an Benutzerkonten sind IMMER nur gültig NACH der Abmeldung zw wiederanmeldung.
Mein cent
Xerebus
Xerebus 23.08.2021 um 10:44:33 Uhr
Goto Top
Wie hat Fefe UAC mal beschrieben:

Genau so muss man übrigens UAC ("Wollen Sie wirklich?"-Prompts von Windows seit Vista) sehen. Das ist alles unsicher und ein Einfallstor, aber die Arbeitsprozesse brechen zusammen, wenn man das ordentlich macht, und die Kunden von Microsoft wollen es nicht ordentlich sondern die wollen weiter pfuschen. Also kommt da ein Knopf hin. Damit Microsoft im Zweifelsfall auf den Knopf zeigen kann. Schaut her, sagen sie dann, da hat der User drauf geklickt. Selber Schuld.
user217
user217 24.08.2021 um 09:15:18 Uhr
Goto Top
Dafür legt man eine GPO an, welche alle lokalen User deaktiviert. Anschließend rollt man LAPS aus welches ein rollierendes Passwort für lokale Accounts vergibt, das man dem User auch temporär geben kann weil es nach 3 Monate wechselt.
[optional] Dann ernennt man Keyuser welche auf ausgesuchten Maschine dauerhaft lokale Adminrechte bekommen.