Adminrechte nur zum installieren
Hallo zusammen,
wir haben zur Zeit einen Praktikanten in der IT bei uns.
Da er öfters mal einen PC neuaufsetzen muss und die benötigten Programme installiert, wäre nun meine Frage...
Hat irgend jemand eine Idee, ob oder wie man ihm nur die Berechtigung geben kann, dass er Programme installieren kann ohne das ich als den Admin eingeben muss.
Die Administratorzugangsdaten darf er nämlich nicht haben.
Danke schon mal
Vg,
David
wir haben zur Zeit einen Praktikanten in der IT bei uns.
Da er öfters mal einen PC neuaufsetzen muss und die benötigten Programme installiert, wäre nun meine Frage...
Hat irgend jemand eine Idee, ob oder wie man ihm nur die Berechtigung geben kann, dass er Programme installieren kann ohne das ich als den Admin eingeben muss.
Die Administratorzugangsdaten darf er nämlich nicht haben.
Danke schon mal
Vg,
David
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3821237914
Url: https://administrator.de/forum/adminrechte-nur-zum-installieren-3821237914.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
15 Kommentare
Neuester Kommentar
Neu installieren kann man auch ohne Adminkonto, das wird in der Regel in dem Setup erst abgefragt (lokales Konto erstellen). Wenn ein Windows Computer in einer Domäne ist, dann wie Looser27 schreibt, per GPO lokales Adminkonto verteilen.
Was sind denn bei euch die "Administratorzugangsdaten"? Ein AD-Dom-Admin für alles?
Was sind denn bei euch die "Administratorzugangsdaten"? Ein AD-Dom-Admin für alles?
Zitat von @David2804:
Zitat von @DerMaddin:
Neu installieren kann man auch ohne Adminkonto, das wird in der Regel in dem Setup erst abgefragt (lokales Konto erstellen). Wenn ein Windows Computer in einer Domäne ist, dann wie Looser27 schreibt, per GPO lokales Adminkonto verteilen.
Ich meinte ja auch nicht die Windows Installation, sondern nach der Installation, wenn die Programme installiert werden.Neu installieren kann man auch ohne Adminkonto, das wird in der Regel in dem Setup erst abgefragt (lokales Konto erstellen). Wenn ein Windows Computer in einer Domäne ist, dann wie Looser27 schreibt, per GPO lokales Adminkonto verteilen.
Das meinte er auch. Wenn du Windows neu installierst, richtest du beim Setup einen lokalen Admin ein. Mit dem kann zuerst die Software installiert werden, bevor der Client dann in die Domäne gehoben wird.
David, es gibt in Windows keine eingebaute Trennung des "Installateurs" vom Administrator.
Es gibt eingebaut keinen Weg, jemandem das Recht zu geben, beliebige Software zu installieren.
Es gibt Software, die Windows um diese Fähigkeit erweitert: https://www.beyondtrust.com/privilege-management
Es gibt eingebaut keinen Weg, jemandem das Recht zu geben, beliebige Software zu installieren.
Es gibt Software, die Windows um diese Fähigkeit erweitert: https://www.beyondtrust.com/privilege-management
Es gibt eingebaut keinen Weg, jemandem das Recht zu geben, beliebige Software zu installieren
Das ist ja auch der Sinn dahinter sonst bräuchte man keine Administratoren wenn Hans und Peter lustig qTorrent installieren und benutzen könnte ....
Es gibt Software, die Windows um diese Fähigkeit erweitert: https://www.beyondtrust.com/privilege-management
Damit wäre ich mal ganz vorsichtig ^^
Gurß:n33lix
ZUSATZ...
Aber wo ist den das Problem das Windows aufzusetzten, die Tools zu installieren und dann in die AD zu schubsen (spätestens da brauchst du dann den Dom-Admin...
und mal ne andere Frage:
sind die Systeme immer gleich bzw ähnlich?
wenn ja, mal an ne Refferenzmaschine und WDS & PXE gedacht? WDS ist nicht mehr auf der höhe gibt was neues "Irgendwas Studio" weil WDS nicht mit Win11 funktioniert aber dieses neue Studio soll soweit ich weis auch eher suboptimal laufen... *halbwissen* hab mich nie mit beschäftigt.
so jetzt aber... Gruss
Mahlzeit.
Cheers,
jsysde
Zitat von @n33lix:
[...]und dann in die AD zu schubsen (spätestens da brauchst du dann den Dom-Admin...[...]
Das ist natürlich Quark - per Default darf jeder Domain User 10 Geräte im AD aufnehmen. Den Domain-Admin benutzt man dafür schon gleich gar nicht, sondern verbietet den Domain-Join a) den Usern und erlaubt ihn b) für delegierte Admin.[...]und dann in die AD zu schubsen (spätestens da brauchst du dann den Dom-Admin...[...]
Cheers,
jsysde
per Default darf jeder Domain User 10 Geräte im AD aufnehmen
Interessant, kurze Google-Recherche und du hast recht...Hab ich nie versucht, wozu auch und halt anders gelernt... Schon witzig was in der Windows-Welt alles möglich ist *Kopfschüttel*
Den Domain-Admin benutzt man dafür schon gleich gar nicht...
Warum? Gibt auch noch Strunkturen die nicht X Admins in der Domäne haben. Klar kannst nen extra Admin dafür anlegen und Berechtigung delegieren aber stell dir mal ne Büro von 5+ Systemen vor. Wozu brauch ich dann 3 Adminkonten Schon klar das DOM alles darf (wie root) und das so wenig leute wie möglich das PW haben sollten... in großen Firmen wird das auch sicher so gemacht. Bei den Kunden die ich Administriere leg ich mir auch einen neuen Admin an der aber auch DOM-Admin-Rechte hat. Einzig aus dem Grund der Nachverfolgbarkeit, weil das PW habe nur ich. Die Größenordnung ist halt ausschlaggebend. Das mit dem Popel-User der User aufnehmen kann war mir nicht bewusst. *immernoch Kopfschüttel*Gruss:n33lix
Mahlzeit.
Wow - das muss ich erstmal sacken lassen @n33lix. Der Begriff "Admin-Tiering", warum man das macht und so... ist dir wahrscheinlich ebenso wenig bekannt wie die Tatsache, dass auch normale User 10 Domain-Joins machen dürfen. Nochmal Wow. Und das im Jahre 2022, da komm' ich aus dem Kopfschütteln nicht mehr raus.
Cheers,
jsysde
Wow - das muss ich erstmal sacken lassen @n33lix. Der Begriff "Admin-Tiering", warum man das macht und so... ist dir wahrscheinlich ebenso wenig bekannt wie die Tatsache, dass auch normale User 10 Domain-Joins machen dürfen. Nochmal Wow. Und das im Jahre 2022, da komm' ich aus dem Kopfschütteln nicht mehr raus.
Cheers,
jsysde
soll ich euch mal verraten was ich an diesen Foren echt zum Kotzen finde?..... die Arroganz mit der manche sich selber hinstellen und Palabern.
@jsysde
schonmal drüber nachgedacht das jeder nen MCSE oder A hat? bist nen ganz toller, ich gratuliere... und wo ist jetzt das Problem das ich das mit nem Admin joine? gibt nen paar mehr wege und wenn der blöde user dann in der AD ist und sein Job machen kann. Mission erfüllt.
ja ich weis was Tiering ist.... aber woooooozuuuuuu soll ich 5 Admingruppen bzw Konten anlegen wenn ich es nur 2 Leute gibt die das verwalten. Hab gehört es gibt leute die haben sich schon zutode geordnet. Kein Plan in welchem Rechenzentrum du hockst wo das durchaus Sinn macht. Die AD von Meister Röhrich braucht das einfach nicht. mehr hab ich doch gar nicht gesagt. Es kommt auf die Größenordnung an... Strukturen wachsen nämlich durchaus...
liebe Grüße
@jsysde
schonmal drüber nachgedacht das jeder nen MCSE oder A hat? bist nen ganz toller, ich gratuliere... und wo ist jetzt das Problem das ich das mit nem Admin joine? gibt nen paar mehr wege und wenn der blöde user dann in der AD ist und sein Job machen kann. Mission erfüllt.
ja ich weis was Tiering ist.... aber woooooozuuuuuu soll ich 5 Admingruppen bzw Konten anlegen wenn ich es nur 2 Leute gibt die das verwalten. Hab gehört es gibt leute die haben sich schon zutode geordnet. Kein Plan in welchem Rechenzentrum du hockst wo das durchaus Sinn macht. Die AD von Meister Röhrich braucht das einfach nicht. mehr hab ich doch gar nicht gesagt. Es kommt auf die Größenordnung an... Strukturen wachsen nämlich durchaus...
liebe Grüße
Malhzeit.
@n33lix:
Danke für den Vorwurf der Arroganz - bin ich mittlerweile gewohnt, insbesondere von "Feld-Wald-Wiesen-Admins", die nicht mal über Basis- und Grundwissen verfügen und dann auf einer Plattform wie dieser hier die beleidigte Leberwurst spielen, wenn man ihnen ihre Wissenslücken aufzeigt. Und die sind in deinem Fall gravierend.
Es gab mal eine Zeit, in der gerade die "Junior-Admins" dankbar waren für Tipps, Tricks und den Versuch, Erfahrung zu vermitteln. Und es gab auch mal eine Zeit, in der "Admins" auch tatsächlich profundes Wissen hatten, das über Computer-Bild-Niveau hinausgeht - scheint aber seit einiger Zeit nicht mehr in Mode zu sein.
Ich hab' mich hier auch schon mit der ein oder anderen Frage oder dem ein oder anderen Kommentar "ins Fettnäpfchen" gesetzt - jeder steht mal quer im Stall. Entscheidend ist aber die Reaktion darauf und ganz ehrlich, deine finde ich "zum kotzen".
Cheers,
jsysde
@n33lix:
Danke für den Vorwurf der Arroganz - bin ich mittlerweile gewohnt, insbesondere von "Feld-Wald-Wiesen-Admins", die nicht mal über Basis- und Grundwissen verfügen und dann auf einer Plattform wie dieser hier die beleidigte Leberwurst spielen, wenn man ihnen ihre Wissenslücken aufzeigt. Und die sind in deinem Fall gravierend.
Es gab mal eine Zeit, in der gerade die "Junior-Admins" dankbar waren für Tipps, Tricks und den Versuch, Erfahrung zu vermitteln. Und es gab auch mal eine Zeit, in der "Admins" auch tatsächlich profundes Wissen hatten, das über Computer-Bild-Niveau hinausgeht - scheint aber seit einiger Zeit nicht mehr in Mode zu sein.
Ich hab' mich hier auch schon mit der ein oder anderen Frage oder dem ein oder anderen Kommentar "ins Fettnäpfchen" gesetzt - jeder steht mal quer im Stall. Entscheidend ist aber die Reaktion darauf und ganz ehrlich, deine finde ich "zum kotzen".
Cheers,
jsysde
@jsysde
freut mich das du das nicht zum ersten Mal gehört hast, würde mir zu denken geben.
1. ich mach das schon seit über 20 Jahren..... soviel zu dem Wald-Wiesen-Admin.
ich beschäftige mich aber nicht mit Windows ADs, ich bin Linux-Admin u.a. mit nem LPIC2.... soviel zu deiner Wissenlücke über meine Kompetenz.
2. Habe ich doch mehfach gesagt: ohh danke... das wusste ich nicht....
-> man kann auch nicht alles wissen, zumal wenn man das nicht täglich macht. Klar hab auch mit Windows Servern zutun aber ne AD ist in meinem beruflichen Alltag eher bei 0,xx%
Les doch bitte mal deine Antworten als hättest du sie nicht geschrieben und sie wären an dich gerichtet gewesen und überleg nochmal selber.......... und daaaan darfst du mir nochmal schreiben.
schöne woche
freut mich das du das nicht zum ersten Mal gehört hast, würde mir zu denken geben.
1. ich mach das schon seit über 20 Jahren..... soviel zu dem Wald-Wiesen-Admin.
ich beschäftige mich aber nicht mit Windows ADs, ich bin Linux-Admin u.a. mit nem LPIC2.... soviel zu deiner Wissenlücke über meine Kompetenz.
2. Habe ich doch mehfach gesagt: ohh danke... das wusste ich nicht....
-> man kann auch nicht alles wissen, zumal wenn man das nicht täglich macht. Klar hab auch mit Windows Servern zutun aber ne AD ist in meinem beruflichen Alltag eher bei 0,xx%
Les doch bitte mal deine Antworten als hättest du sie nicht geschrieben und sie wären an dich gerichtet gewesen und überleg nochmal selber.......... und daaaan darfst du mir nochmal schreiben.
schöne woche
Zusatz:::::
-> find ich immer super wie sich manche immer selber beweihräuchern müssen... Man bin ich froh das es in meiner Anfangszeit sowas nicht gab. Tut mir für jeden jungen FISI oder INFI echt leid! Die trauen sich doch überhauptlich hier irgendwas zu schreiben oder zu fragen.... gerade wegen so leuten wie dir!
Erstmal oben drauf hauen, sich selber gut fühlen..... Applaus !!!
Es gab mal eine Zeit, in der gerade die "Junior-Admins" dankbar waren...
-> find ich immer super wie sich manche immer selber beweihräuchern müssen... Man bin ich froh das es in meiner Anfangszeit sowas nicht gab. Tut mir für jeden jungen FISI oder INFI echt leid! Die trauen sich doch überhauptlich hier irgendwas zu schreiben oder zu fragen.... gerade wegen so leuten wie dir!
Erstmal oben drauf hauen, sich selber gut fühlen..... Applaus !!!
@jsysde
nix mehr? okay.... dann danke ich dir für deinen kontruktiven Beitrag. Es ist mir immer eine Wonne von Kollegen etwas "für mich" neuen zu erfahren.
wünsch dir ein schönes Wochende...
LG
nix mehr? okay.... dann danke ich dir für deinen kontruktiven Beitrag. Es ist mir immer eine Wonne von Kollegen etwas "für mich" neuen zu erfahren.
wünsch dir ein schönes Wochende...
LG