david2804
Goto Top

Adminrechte nur zum installieren

Hallo zusammen,

wir haben zur Zeit einen Praktikanten in der IT bei uns.
Da er öfters mal einen PC neuaufsetzen muss und die benötigten Programme installiert, wäre nun meine Frage...
Hat irgend jemand eine Idee, ob oder wie man ihm nur die Berechtigung geben kann, dass er Programme installieren kann ohne das ich als den Admin eingeben muss.
Die Administratorzugangsdaten darf er nämlich nicht haben.

Danke schon mal

Vg,
David

Content-ID: 3821237914

Url: https://administrator.de/forum/adminrechte-nur-zum-installieren-3821237914.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Looser27
Lösung Looser27 02.09.2022 um 12:03:30 Uhr
Goto Top
Moin,

lokalen Admin-Account per GPO an die Clients verteilen und dem Praktikanten das PW geben. Damit kann er dann lokal an den Clients Programme installieren/deinstallieren und Einstellungen anpassen.

Gruß

Looser
DerMaddin
DerMaddin 02.09.2022 um 12:20:03 Uhr
Goto Top
Neu installieren kann man auch ohne Adminkonto, das wird in der Regel in dem Setup erst abgefragt (lokales Konto erstellen). Wenn ein Windows Computer in einer Domäne ist, dann wie Looser27 schreibt, per GPO lokales Adminkonto verteilen.

Was sind denn bei euch die "Administratorzugangsdaten"? Ein AD-Dom-Admin für alles?
Spirit-of-Eli
Spirit-of-Eli 02.09.2022 um 12:39:10 Uhr
Goto Top
Moin,

oder man führt für die Domain LARPS ein.
Dann hat jeder Rechner einen personalisierten Armin account.

Gruß
Spirit
David2804
David2804 02.09.2022 um 12:53:07 Uhr
Goto Top
Zitat von @DerMaddin:

Neu installieren kann man auch ohne Adminkonto, das wird in der Regel in dem Setup erst abgefragt (lokales Konto erstellen). Wenn ein Windows Computer in einer Domäne ist, dann wie Looser27 schreibt, per GPO lokales Adminkonto verteilen.

Ich meinte ja auch nicht die Windows Installation, sondern nach der Installation, wenn die Programme installiert werden.
ArnoNymous
ArnoNymous 02.09.2022 um 14:05:11 Uhr
Goto Top
Zitat von @David2804:

Zitat von @DerMaddin:

Neu installieren kann man auch ohne Adminkonto, das wird in der Regel in dem Setup erst abgefragt (lokales Konto erstellen). Wenn ein Windows Computer in einer Domäne ist, dann wie Looser27 schreibt, per GPO lokales Adminkonto verteilen.

Ich meinte ja auch nicht die Windows Installation, sondern nach der Installation, wenn die Programme installiert werden.

Das meinte er auch. Wenn du Windows neu installierst, richtest du beim Setup einen lokalen Admin ein. Mit dem kann zuerst die Software installiert werden, bevor der Client dann in die Domäne gehoben wird.
DerWoWusste
DerWoWusste 02.09.2022 um 14:41:47 Uhr
Goto Top
David, es gibt in Windows keine eingebaute Trennung des "Installateurs" vom Administrator.
Es gibt eingebaut keinen Weg, jemandem das Recht zu geben, beliebige Software zu installieren.

Es gibt Software, die Windows um diese Fähigkeit erweitert: https://www.beyondtrust.com/privilege-management
n33lix
n33lix 02.09.2022 aktualisiert um 20:22:33 Uhr
Goto Top
Es gibt eingebaut keinen Weg, jemandem das Recht zu geben, beliebige Software zu installieren

Das ist ja auch der Sinn dahinter sonst bräuchte man keine Administratoren wenn Hans und Peter lustig qTorrent installieren und benutzen könnte ....

Es gibt Software, die Windows um diese Fähigkeit erweitert: https://www.beyondtrust.com/privilege-management

Damit wäre ich mal ganz vorsichtig ^^

Gurß:n33lix


ZUSATZ...

Aber wo ist den das Problem das Windows aufzusetzten, die Tools zu installieren und dann in die AD zu schubsen (spätestens da brauchst du dann den Dom-Admin...

und mal ne andere Frage:
sind die Systeme immer gleich bzw ähnlich?
wenn ja, mal an ne Refferenzmaschine und WDS & PXE gedacht? WDS ist nicht mehr auf der höhe gibt was neues "Irgendwas Studio" weil WDS nicht mit Win11 funktioniert aber dieses neue Studio soll soweit ich weis auch eher suboptimal laufen... *halbwissen* hab mich nie mit beschäftigt.

so jetzt aber... Gruss
jsysde
jsysde 03.09.2022 um 12:58:08 Uhr
Goto Top
Mahlzeit.

Zitat von @n33lix:
[...]und dann in die AD zu schubsen (spätestens da brauchst du dann den Dom-Admin...[...]
Das ist natürlich Quark - per Default darf jeder Domain User 10 Geräte im AD aufnehmen. Den Domain-Admin benutzt man dafür schon gleich gar nicht, sondern verbietet den Domain-Join a) den Usern und erlaubt ihn b) für delegierte Admin.

Cheers,
jsysde
n33lix
n33lix 03.09.2022 um 19:26:53 Uhr
Goto Top
per Default darf jeder Domain User 10 Geräte im AD aufnehmen
Interessant, kurze Google-Recherche und du hast recht...
Hab ich nie versucht, wozu auch und halt anders gelernt... Schon witzig was in der Windows-Welt alles möglich ist *Kopfschüttel*

Den Domain-Admin benutzt man dafür schon gleich gar nicht...
Warum? Gibt auch noch Strunkturen die nicht X Admins in der Domäne haben. Klar kannst nen extra Admin dafür anlegen und Berechtigung delegieren aber stell dir mal ne Büro von 5+ Systemen vor. Wozu brauch ich dann 3 Adminkonten face-wink Schon klar das DOM alles darf (wie root) und das so wenig leute wie möglich das PW haben sollten... in großen Firmen wird das auch sicher so gemacht. Bei den Kunden die ich Administriere leg ich mir auch einen neuen Admin an der aber auch DOM-Admin-Rechte hat. Einzig aus dem Grund der Nachverfolgbarkeit, weil das PW habe nur ich. Die Größenordnung ist halt ausschlaggebend. Das mit dem Popel-User der User aufnehmen kann war mir nicht bewusst. *immernoch Kopfschüttel*

Gruss:n33lix
jsysde
jsysde 05.09.2022 aktualisiert um 13:00:47 Uhr
Goto Top
Mahlzeit.

Wow - das muss ich erstmal sacken lassen @n33lix. Der Begriff "Admin-Tiering", warum man das macht und so... ist dir wahrscheinlich ebenso wenig bekannt wie die Tatsache, dass auch normale User 10 Domain-Joins machen dürfen. Nochmal Wow. Und das im Jahre 2022, da komm' ich aus dem Kopfschütteln nicht mehr raus.

Cheers,
jsysde
n33lix
n33lix 10.09.2022 um 10:23:27 Uhr
Goto Top
soll ich euch mal verraten was ich an diesen Foren echt zum Kotzen finde?..... die Arroganz mit der manche sich selber hinstellen und Palabern.

@jsysde
schonmal drüber nachgedacht das jeder nen MCSE oder A hat? bist nen ganz toller, ich gratuliere... und wo ist jetzt das Problem das ich das mit nem Admin joine? gibt nen paar mehr wege und wenn der blöde user dann in der AD ist und sein Job machen kann. Mission erfüllt.

ja ich weis was Tiering ist.... aber woooooozuuuuuu soll ich 5 Admingruppen bzw Konten anlegen wenn ich es nur 2 Leute gibt die das verwalten. Hab gehört es gibt leute die haben sich schon zutode geordnet. Kein Plan in welchem Rechenzentrum du hockst wo das durchaus Sinn macht. Die AD von Meister Röhrich braucht das einfach nicht. mehr hab ich doch gar nicht gesagt. Es kommt auf die Größenordnung an... Strukturen wachsen nämlich durchaus...

liebe Grüße
jsysde
jsysde 10.09.2022 um 11:46:02 Uhr
Goto Top
Malhzeit.

@n33lix:
Danke für den Vorwurf der Arroganz - bin ich mittlerweile gewohnt, insbesondere von "Feld-Wald-Wiesen-Admins", die nicht mal über Basis- und Grundwissen verfügen und dann auf einer Plattform wie dieser hier die beleidigte Leberwurst spielen, wenn man ihnen ihre Wissenslücken aufzeigt. Und die sind in deinem Fall gravierend.

Es gab mal eine Zeit, in der gerade die "Junior-Admins" dankbar waren für Tipps, Tricks und den Versuch, Erfahrung zu vermitteln. Und es gab auch mal eine Zeit, in der "Admins" auch tatsächlich profundes Wissen hatten, das über Computer-Bild-Niveau hinausgeht - scheint aber seit einiger Zeit nicht mehr in Mode zu sein.

Ich hab' mich hier auch schon mit der ein oder anderen Frage oder dem ein oder anderen Kommentar "ins Fettnäpfchen" gesetzt - jeder steht mal quer im Stall. Entscheidend ist aber die Reaktion darauf und ganz ehrlich, deine finde ich "zum kotzen".

Cheers,
jsysde
n33lix
n33lix 12.09.2022 aktualisiert um 14:29:27 Uhr
Goto Top
@jsysde
freut mich das du das nicht zum ersten Mal gehört hast, würde mir zu denken geben.

1. ich mach das schon seit über 20 Jahren..... soviel zu dem Wald-Wiesen-Admin.
ich beschäftige mich aber nicht mit Windows ADs, ich bin Linux-Admin u.a. mit nem LPIC2.... soviel zu deiner Wissenlücke über meine Kompetenz.

2. Habe ich doch mehfach gesagt: ohh danke... das wusste ich nicht....
-> man kann auch nicht alles wissen, zumal wenn man das nicht täglich macht. Klar hab auch mit Windows Servern zutun aber ne AD ist in meinem beruflichen Alltag eher bei 0,xx%

Les doch bitte mal deine Antworten als hättest du sie nicht geschrieben und sie wären an dich gerichtet gewesen und überleg nochmal selber.......... und daaaan darfst du mir nochmal schreiben.

schöne woche
n33lix
n33lix 12.09.2022 um 14:19:01 Uhr
Goto Top
Zusatz:::::

Es gab mal eine Zeit, in der gerade die "Junior-Admins" dankbar waren...

-> find ich immer super wie sich manche immer selber beweihräuchern müssen... Man bin ich froh das es in meiner Anfangszeit sowas nicht gab. Tut mir für jeden jungen FISI oder INFI echt leid! Die trauen sich doch überhauptlich hier irgendwas zu schreiben oder zu fragen.... gerade wegen so leuten wie dir!
Erstmal oben drauf hauen, sich selber gut fühlen..... Applaus !!!
n33lix
n33lix 16.09.2022 um 22:36:06 Uhr
Goto Top
@jsysde
nix mehr? okay.... dann danke ich dir für deinen kontruktiven Beitrag. Es ist mir immer eine Wonne von Kollegen etwas "für mich" neuen zu erfahren.

wünsch dir ein schönes Wochende...

LG