Administratorrechte an Benutzer innerhalb der Domain übertragen

Mitglied: jstar5588
Hallo Zusammen,

ich habe folgendes "Problem", welches ich zwar anderweitig selbst lösen kann allerdings würde ich trotzdem gerne wissen warum ich erstmal so nicht weiterkomme.

Umgebung:
Windows Server 2019 gleichzeitig der Domänencontroller
Windows 10 - Client

Mit dem Windows 10 Client befinde ich mich in besagter Domäne, wenn ich nun gewisse Windows-Einstellungen verändern möchte ploppt die Benutzerkontensteuerung auf und ich regelte das bisher immer mit dem "Administrator"-Konto.

Nun wollte ich den Administrator allerdings für so etwas ruhen lassen und einen Benutzer aus der Organisation, also mich selbst mit erhöhten Rechten ausstatten.
Ich ging also in die Active Directory und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins", desweiteren ist er auch immer noch in der Gruppe "Domänen-Benutzer".

Wenn ich nun meinen Benutzer in der Benutzerkontensteuerung eintrage erscheint immer die Meldung "Dieser Vorgang erfordert erhöhte Rechte".

Ich habe mir mal den Administrator in der AD angesehen und festgestellt dass dieser noch Mitglied von ein paar Gruppen mehr ist:
Administratoren
Domänen-Admins
Domänen-Benutzer
Organisations-Admins
Richtlinien-Ersteller-Besitzer
Schema-Admins

Wenn ich nun zum Test einen komplett neuen Benutzer in der AD unter "Users" erstelle, dort wo also auch der Administrator liegt, und diesen dann in "Domänen-Admins" eintrage klappt es und ich kann mit diesen neuen Benutzer auf dem Client die Einstellungen tätigen.

Wieso klappt es mit meinem eigenen Benutzer nicht? Was mache ich falsch oder übersehe ich?

Content-Key: 1182705440

Url: https://administrator.de/contentid/1182705440

Ausgedruckt am: 20.10.2021 um 09:10 Uhr

Mitglied: jstar5588
Lösung jstar5588 22.08.2021 aktualisiert um 12:13:51 Uhr
Goto Top
Okay, sorry....

Ein Restart des Clients und wahrscheinlich die daraus resultiernde Neuanmeldung des Benutzers brachte den gewünschten Erfolg
Mitglied: Xerebus
Xerebus 22.08.2021 um 12:20:41 Uhr
Goto Top
Echt jetzt?
"und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins""

Da macht man einen lokalen Admin für den/die Clients.
Mitglied: radiogugu
radiogugu 22.08.2021 aktualisiert um 12:23:26 Uhr
Goto Top
Hallo.

Ein Hinweis der Warnung:

Einem Benutzer diese Gruppen zu zuweisen kann Probleme machen.

Da es bei dir wahrscheinlich um eine Testumgebung handelt nicht weiter schlimm, aber so etwas sollte man nicht in produktiven Systemen konfigurieren.

Beispielsweise Active Sync zu einem Exchange Server funktioniert nicht aufgrund der vererbten Berechtigungen innerhalb der Domäne.

Generell gilt aber:

Einem Benutzer lokale Admin-Rechte zu geben ist aus Sicht der Sicherheit nie eine gute Idee.

Früher benötigten Anwendungen wie Datev oder CAD/CAM Programme immer lokale, administrative Rechte, das ist aber zum Glück weitestgehend nicht mehr der Fall.

Gruß
Marc
Mitglied: em-pie
Lösung em-pie 22.08.2021 um 12:37:26 Uhr
Goto Top
Zitat von @Xerebus:

Echt jetzt?
"und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins""

Da macht man einen lokalen Admin für den/die Clients.

Und/ oder richtet einen eigenständigen User für administrative Zwecke ein.
Mal angenommen D. Ilbert ist der IT-Administrator im Unternehmen.
hat sein User dilbert Adminrechte (egal ob lokal oder domainweit) und er fängt sich etwas ein, hat das mitunter weitreichende Konsequenzen.
Wenn D. Ilbert aber einen zusätzlichen Admin-User hat (adm_di), sind die Auswirkungen bei einer Infektion über den User dilbert geringer, da der User dilbert keine (globalen) Adminrechte hat.

Gruß
em-pie
Mitglied: jstar5588
jstar5588 22.08.2021 um 12:55:19 Uhr
Goto Top
Danke für die Hinweise, ich erstelle dann tatsächlich einen neuen User für diese Zwecke
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.08.2021 aktualisiert um 15:16:22 Uhr
Goto Top
Zitat von @jstar5588:

Okay, sorry....

Ein Restart des Clients und wahrscheinlich die daraus resultiernde Neuanmeldung des Benutzers brachte den gewünschten Erfolg

Das ist auch kein Wunder. Änderungen am Benutzer im AD greifen erst, wenn der Benutzer sich abmeldet und am AD wieder frisch anmeldet.


Zitat von @jstar5588:

Ich ging also in die Active Directory und machte den besagten Benutzer zum Mitglied der Gruppe "Domänen-Admins", desweiteren ist er auch immer noch in der Gruppe "Domänen-Benutzer".

Wenn ich nun meinen Benutzer in der Benutzerkontensteuerung eintrage erscheint immer die Meldung "Dieser Vorgang erfordert erhöhte Rechte".

Ich habe mir mal den Administrator in der AD angesehen und festgestellt dass dieser noch Mitglied von ein paar Gruppen mehr ist:
Administratoren
Domänen-Admins
Domänen-Benutzer
Organisations-Admins
Richtlinien-Ersteller-Besitzer
Schema-Admins

Es ist eine ganz schlechte Idee, einen regulären User zum Admin zu machen. Standard ist es, dafür extra einen extra Admin-User anzulegen.

Wenn Du alsr regulärer User administrative Rechte hast, kann Dir Malware ganz einfach Tretminen unterschieben. Und das geht sogar so, daß Du es trotz UAC nicht merkst.

lks
Mitglied: TomTomBon
TomTomBon 23.08.2021 um 10:01:47 Uhr
Goto Top
Kleine Anmerkung:
MS selbst sagt, Ich habe den Link leider nicht gespeichert, das UAC KEIN sicherheitsfeature ist!
Es ist dafür gedacht das Anwender:innen darauf hingewiesen werden das sie was starten damit.
Der "echte " Administrator hat die UAC aber zB gar nicht.

Wie lästerte ein Linux Admin einmal gegenüber einem Admin von MS der dem nicht widersprach:
Unter Windows sind die unterschiedlichen Benutzerkonten weniger zu Sicherheitszwecken (administrator einmal ausgenommen) als vielmehr zu organisatorischen Zwecken.
Damit nicht User 1 auf die privaten Daten von User 2 kommt.
Wer versucht hat unter Linux einmal Daten zu sichern wo das PW abhanden gekommen ist..
Es geht. Aber der aufwand ist GANZ anders als unter Windows ;-) face-wink

Davon einmal abgesehen.
Änderungen an Benutzerkonten sind IMMER nur gültig NACH der Abmeldung zw wiederanmeldung.
Mein cent
Mitglied: Xerebus
Xerebus 23.08.2021 um 10:44:33 Uhr
Goto Top
Wie hat Fefe UAC mal beschrieben:

Genau so muss man übrigens UAC ("Wollen Sie wirklich?"-Prompts von Windows seit Vista) sehen. Das ist alles unsicher und ein Einfallstor, aber die Arbeitsprozesse brechen zusammen, wenn man das ordentlich macht, und die Kunden von Microsoft wollen es nicht ordentlich sondern die wollen weiter pfuschen. Also kommt da ein Knopf hin. Damit Microsoft im Zweifelsfall auf den Knopf zeigen kann. Schaut her, sagen sie dann, da hat der User drauf geklickt. Selber Schuld.
Mitglied: user217
user217 24.08.2021 um 09:15:18 Uhr
Goto Top
Dafür legt man eine GPO an, welche alle lokalen User deaktiviert. Anschließend rollt man LAPS aus welches ein rollierendes Passwort für lokale Accounts vergibt, das man dem User auch temporär geben kann weil es nach 3 Monate wechselt.
[optional] Dann ernennt man Keyuser welche auf ausgesuchten Maschine dauerhaft lokale Adminrechte bekommen.
Heiß diskutierte Beiträge
question
Neuinstallation NetzwerkBurQueVor 1 TagFrageNetzwerkgrundlagen14 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 23 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
RDP funktioniert auf 2 Monitoren, nicht aber auf 3spufi77Vor 21 StundenFrageWindows 109 Kommentare

Hallo ich habe meinen Laptop über eine DockingStation USB-C an zwei Monitore angeschlossen. Wenn ich nun eine RDP Verbindung aufbaue, bekomme ich die trotz Haken ...

question
Arbeitsordnern Beine machen? gelöst dertowaVor 18 StundenFrageWindows Netzwerk1 Kommentar

Hallo zusammen, mein HomeLab lässt mich leider noch nicht los. Nachdem ich gestern Abend soweit erfolgreich war und nach einer Test-VM mein Notebook umgestellt habe ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 1 TagFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...