trmanky
Goto Top

Bestimmter Computer ermöglicht Usern keine Rechte!

Hallo Administrator-Kollegen. Ich bin noch ziemlich neu in meinem Gebiet und bin Hals über Kopf in die Admin-Position gerutscht. Daher benötige ich jetzt eure Hilfe.

Ich habe ein Notebook mit Windows 7 neu aufsetzen müssen. Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen. Alles schön und gut.
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden. Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.

Ich habe mir das Notebook im AD mal direkt angeschaut, ob vielleicht die Gruppen aus welchem Grund auch immer falsch eingestellt sind. Aber auch hier ist alles identisch mit den anderen Notebooks, auch die Sicherheitseinstellungen des Computers sind dieselben, wie bei anderen NBs. Ich habe sogar schon aus lauter Verzweiflung den Benutzer selbst in die Sicherheitseinstellung eingefügt und Vollzugriff erteilt. Aber das bringt auch keine Änderung.

Ich hoffe, ich konnte mein Problem ausareichend beschreiben. Über eure Hilfe wäre ich sehr dankbar. ich habe nämlich auch noch ein WinXP-NB mit demselben Problem. Dort habe ich das Problem mit nem lokalen Admin-Benutzer vertagt. Eine Dauerlösung ist das aber absolut nicht.

MfG

Content-ID: 190600

Url: https://administrator.de/contentid/190600

Ausgedruckt am: 26.11.2024 um 07:11 Uhr

d4shoerncheN
d4shoerncheN 03.09.2012 aktualisiert um 08:43:40 Uhr
Goto Top
Hallo,

welches OS für den Domänen-Controller setzt ihr ein?

Irgendwelche Gruppenrichtlinien erstellt, die dies bewirken?

Gruß
trmanky
trmanky 03.09.2012 um 08:58:48 Uhr
Goto Top
Hi,

erst einmal, danke für die schnelle Antwort. face-smile

Wir benutzen Windows Server 2003 SBS. Ich wüsste nicht, dass Gruppenrichtlinien diesbezüglich irgendetwas beeinflussen. Aber ich kann mich auch irren. Ich habe die IT nur übernommen und eine richtige Einweisung hat nie stattgefunden. Hast du eine Idee, nach was ich suchen sollte, was die Gruppenrichtlinien angeht?

Gruß

PS: Meine nächste Antwort könnte etwas dauern, bin jetzt erst mal unterwegs.
d4shoerncheN
d4shoerncheN 03.09.2012 um 09:00:22 Uhr
Goto Top
Hallo,

aus dem Kopf weiß ich das leider auch nicht. Müsste ich demnächst mal schauen.

Funktionieren, am Beispiel deiner Verknüpfungen, diese nur nicht via Drag-and-Drop? Oder geht es auch nicht, wenn du Rechtsklick auf den Ordner machst -> Senden an...Desktop?

Gruß
goscho
goscho 03.09.2012 um 09:45:22 Uhr
Goto Top
Morgen
Zitat von @trmanky:
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also
wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern
anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden.
Was hat denn das Löschen von Verknüpfungen auf dem Desktop mit Arbeiten zu tun?

Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?

Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ne, das liegt am Admin. face-wink
Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.

BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Für was wird dann ein Admin benötigt?
Pjordorf
Pjordorf 03.09.2012 um 13:56:13 Uhr
Goto Top
Hallo,

Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Wäre sehr aufschlussreichface-smile

Ne, das liegt am Admin. face-wink
Gib ihm doch etwas Zeit. Er ist doch hals über Kopf in die Administartion rein geschubst worden ohne das er etwas dafür konnte (vermutlich gegen seinen Willen). Ist doch somit nicht sein Fehlerface-smile Und hat vermutlich noch nie etwas mit Administrator / Richtlinien / Domänen / Computer in Domänen aufnehmen / SBS und sein Beiwerk etc. zu tun gehabtface-smile Bis heute abend 19 Uhr hat er noch Welpenschutzface-smile Danach muss das fluppen.

Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Dito.

Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
Dito. Ausser . . . SBS (2003) . . .

BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Dito. Brauchen die wirklich nicht.

Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen
Macht man nicht eher Win 7 Installieren, nötige Treiber für LAN drauf, in Domäne aufmehmen, weitere Software Installieren und der WSUS kümmert sich schon mal um die Updates .....

Aber ich sehe hier den Fallstrick bei der Aufnahem des Clients in der Domäne. Es stellt sich hier die Frage wie unser TO dies tatsächlich bewerkstelligt hat. Bedenkt, er hat ein SBS (hier ein 2003 oder gar ein 2003 R2). Da gibt es dann schon 2 Wege per Mausschubsen um das zu bewerkstelligen. Einmal über Computer - Einstellungen Ändern (Win 7) und dann den eigentlich normalen (richtigen) Weg beim SBS über ConnectComputer per Browser. Der letztere (Asisstenten gesteuert) fragt auch welche(r) Benutzer denn hier später Arbeiten wird und nimmt diese(n) dann in die Lokale Gruppe der Administratoren auf. Das ist "standard procedure" beim SBS. Also wurden hier einige Rechner per ConnectComputer und andere einfach per Arbeitsplatz (Win XP) / Computer (Win 7) in die Domäne aufgenommen. Bei letzterem wird natürlich kein Benutzer in der lokalen Gruppe der Administartoren automatisch aufgenommen (standard procedure bei nicht verwenden von SBS Asisstenten). Aber das ist alles nur geraten. Wir wissen es nicht.

Gruß,
Peter
trmanky
trmanky 03.09.2012 um 14:15:16 Uhr
Goto Top
Haueha,

ganz schön viele Fragen, ich versuche mal, eure Fragen zu beantworten.

Als allererstes: die User müssen Programme installieren dürfen, weil sie viel unterwegs sind, und das als Techniker. Es wird dabei viel mit Software usw rumgespielt und deshalb müssen sie in der Hinsicht freies Geleit erhalten.

Wenn ich als User einen Ordner erstelle, kann ich diesen danach auch wieder löschen.

Einen WSUS haben wir nicht, ich muss leider per Hand updaten.

Den "SBS Assistenten" kenne ich gar nicht und habe ihn dann wohl auch nicht benutzt.

Ich hoffe das war's erst mal.

Danke für eure Mühen =)
Pjordorf
Pjordorf 03.09.2012 um 15:59:02 Uhr
Goto Top
Hallo,

Zitat von @trmanky:
ganz schön viele Fragen, ich versuche mal, eure Fragen zu beantworten.
Wovon du leider nur ein Bruchteil beantwortet hast sodass wir nicht wirklich mehr wissen als vorherface-smile Es sind ja deine Probleme, nicht unsere.

viel mit Software usw rumgespielt
Genau das ist es. Es wird gespielt. Auch ein Techniker braucht keine Admin Rechte. Er kennt seinen Job sehr genau und weiß welche Werkzeuge er benötigt (vorher schon). Das ist nur eine Ausrede für einen Fualen Admin.

Wenn ich als User einen Ordner erstelle, kann ich diesen danach auch wieder löschen.
Na also, geht doch, auch ohne Admin Rechte. face-smile

Einen WSUS haben wir nicht, ich muss leider per Hand updaten.
Mal darüber nachdenken. Auch ein SBS 2003 (2003 R2) kann WSUS sein. Macht vor allem dir als Admin das Leben leichter. Und Anwender brauchen keine Admin Rechte um MS Updates einzuspielen.

Den "SBS Assistenten" kenne ich gar nicht und habe ihn dann wohl auch nicht benutzt.
Der SBS ist mit Asisstenten nur so voll gestopft und hat auch seinen Grund. Genaus solltest du zuerst immer die Asisstenten verwenden. Danach die Asisstenten nehmen. erst dann, kannst du selbst Hand anlegen, sofern du das nötige Fachwissen im jeweiligen Bereich hast. Dann hast du lange Freude und wenig Arbeit mit einem SBS. Bedenke, ein SBS beinhaltet immer einen Server (hier 2003). Ein Server beinhaltet aber niemals einen SBS. Die Unterschiede sind teils sehr gross und nicht jeder kennt diese. Deshalb bei problemen immer klarstellen das es sich um einen SBS 2003(R2) handelt. Das hilft dir falsche Antworten zu bekommen.

Schau dir mal das http://deinservername/ oder http://connectcomputer/ oder http://companyweb/ mal genauer an. Auch mal eine https://eueredomaineoderip/remote/ oder ein https://eueredomainoderip/exchange/ solltets du dir mal anschauen und sehen wie diese sich unterscheiden, auch je nach Benutzerrechten.

Beim SBS werden Computer immer per http://connectcomputer/ aufgenommen. Dann hast du erstmal den Standard eines SBS Netztes, was auch bedeutet das der abgefragte Benutzer dann in der lokalen Gruppe der Administartoren ist. Soll die Arbeit in einem SBS Netz für nicht Admins erleichtern, ist also nicht best practice in einer nicht SBS umgebungen. Und somit tauchen schon die ersten Glaubensfragen wie "Benutzer = Admin" auf. face-smile

Lerne die Aisstenten des SBS kennen. Mehr braucht es fast nichtface-smile Und wer sich mit Server 2003(R2), DHCP, DNS, WINS, AD, WSUS, Exchange, Sharepoint Servicesm, IIS, ISA 2004, SQL Server 2000/2003/2005 usw. auskennt der kann nach den Aaisstenten dann auch selbst Hand anlegen, aber er wird immer zuerst die Asisstenten nehmen.face-smile

Gruß,
Peter
trmanky
trmanky 04.09.2012 um 08:28:52 Uhr
Goto Top
Heyho,

das hat nichts mit fauler Admin zu tun, die Software wechselt ständig. Wir sind ein Betrieb, der Systeme zur Videoüberwachung vertreibt, und besonders Erkennungs- und Konfigurationssoftware für z.B. IP-Kameras bekommen laufend neue Versionen.
Auch unsere hauseigene Rekorder-Software benötigt mehr Rechte als normal.
Aber das hat mit dem eigentlichen Thema nichts zu tun.

Ich habe das Notebook nun mal aus der Domöne geschmissen und den SBS-Assistenten ausgeführt "http://servername/connectcomputer".
Zuerst einmal: sehr praktische Funktion, vielen Dank schon mal dafür.
Aber mein Problem hat das leider auch nicht gelöst, ich kann trotzdem nicht z.B. die Netzwerkeigenschaften verändern, was dem Benutzer auf seinem aktuellen Notebook möglich ist.

Was kann ich nun noch falsch gemacht haben?

VG
trmanky
trmanky 05.09.2012 um 08:03:31 Uhr
Goto Top
Hat niemand mehr eine Idee, was ich noch versuchen kann?

Oder ist bei mir so sehr Hopfen und Malz verloren, dass sich antworten nicht lohnt? :D

Ich muss das echt irgendwie gewuppt kriegen.

VG
d4shoerncheN
d4shoerncheN 05.09.2012 aktualisiert um 08:13:51 Uhr
Goto Top
Hallo,

1. Lokal am PC - rechte Maustaste auf Arbeitsplatz - Verwalten - Lokale Benutzer und Gruppen

Dort in der Gruppe! Administratoren muss erst einmal drin stehen:
\Domänen-Admins und dein Domänen-Benutzer

2. Über das AD vom Server - Auf den Computer - Verwalten - verwalten usw. wie oben.

Ansonsten auch mal hier gucken
Usern lokale Adminrechte auf bestimmten Clients per GPO geben
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...

Gruß
trmanky
trmanky 05.09.2012 um 08:24:32 Uhr
Goto Top
Guten Morgen,

tausend Dank!!! Jetzt ist der Benutzer wirklich lokaler Admin und kann das tun, was er muss, um arbeiten zu können.

Ich danke dir vielmals. Meine schier endlose Suche nach einer Lösung hat endlich ein Ende.

VG
d4shoerncheN
d4shoerncheN 05.09.2012 um 08:26:07 Uhr
Goto Top
Gern geschehen.

Eine schöne Restwoche wünsche ich.

Gruß