12
Bestimmter Computer ermöglicht Usern keine Rechte!
Hallo Administrator-Kollegen. Ich bin noch ziemlich neu in meinem Gebiet und bin Hals über Kopf in die Admin-Position gerutscht. Daher benötige ich jetzt eure Hilfe.
Ich habe ein Notebook mit Windows 7 neu aufsetzen müssen. Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen. Alles schön und gut.
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden. Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ich habe mir das Notebook im AD mal direkt angeschaut, ob vielleicht die Gruppen aus welchem Grund auch immer falsch eingestellt sind. Aber auch hier ist alles identisch mit den anderen Notebooks, auch die Sicherheitseinstellungen des Computers sind dieselben, wie bei anderen NBs. Ich habe sogar schon aus lauter Verzweiflung den Benutzer selbst in die Sicherheitseinstellung eingefügt und Vollzugriff erteilt. Aber das bringt auch keine Änderung.
Ich hoffe, ich konnte mein Problem ausareichend beschreiben. Über eure Hilfe wäre ich sehr dankbar. ich habe nämlich auch noch ein WinXP-NB mit demselben Problem. Dort habe ich das Problem mit nem lokalen Admin-Benutzer vertagt. Eine Dauerlösung ist das aber absolut nicht.
MfG
Ich habe ein Notebook mit Windows 7 neu aufsetzen müssen. Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen. Alles schön und gut.
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden. Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ich habe mir das Notebook im AD mal direkt angeschaut, ob vielleicht die Gruppen aus welchem Grund auch immer falsch eingestellt sind. Aber auch hier ist alles identisch mit den anderen Notebooks, auch die Sicherheitseinstellungen des Computers sind dieselben, wie bei anderen NBs. Ich habe sogar schon aus lauter Verzweiflung den Benutzer selbst in die Sicherheitseinstellung eingefügt und Vollzugriff erteilt. Aber das bringt auch keine Änderung.
Ich hoffe, ich konnte mein Problem ausareichend beschreiben. Über eure Hilfe wäre ich sehr dankbar. ich habe nämlich auch noch ein WinXP-NB mit demselben Problem. Dort habe ich das Problem mit nem lokalen Admin-Benutzer vertagt. Eine Dauerlösung ist das aber absolut nicht.
MfG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190600
Url: https://administrator.de/contentid/190600
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
welches OS für den Domänen-Controller setzt ihr ein?
Irgendwelche Gruppenrichtlinien erstellt, die dies bewirken?
Gruß
welches OS für den Domänen-Controller setzt ihr ein?
Irgendwelche Gruppenrichtlinien erstellt, die dies bewirken?
Gruß
Hi,
erst einmal, danke für die schnelle Antwort.
Wir benutzen Windows Server 2003 SBS. Ich wüsste nicht, dass Gruppenrichtlinien diesbezüglich irgendetwas beeinflussen. Aber ich kann mich auch irren. Ich habe die IT nur übernommen und eine richtige Einweisung hat nie stattgefunden. Hast du eine Idee, nach was ich suchen sollte, was die Gruppenrichtlinien angeht?
Gruß
PS: Meine nächste Antwort könnte etwas dauern, bin jetzt erst mal unterwegs.
erst einmal, danke für die schnelle Antwort.
Wir benutzen Windows Server 2003 SBS. Ich wüsste nicht, dass Gruppenrichtlinien diesbezüglich irgendetwas beeinflussen. Aber ich kann mich auch irren. Ich habe die IT nur übernommen und eine richtige Einweisung hat nie stattgefunden. Hast du eine Idee, nach was ich suchen sollte, was die Gruppenrichtlinien angeht?
Gruß
PS: Meine nächste Antwort könnte etwas dauern, bin jetzt erst mal unterwegs.
Hallo,
aus dem Kopf weiß ich das leider auch nicht. Müsste ich demnächst mal schauen.
Funktionieren, am Beispiel deiner Verknüpfungen, diese nur nicht via Drag-and-Drop? Oder geht es auch nicht, wenn du Rechtsklick auf den Ordner machst -> Senden an...Desktop?
Gruß
aus dem Kopf weiß ich das leider auch nicht. Müsste ich demnächst mal schauen.
Funktionieren, am Beispiel deiner Verknüpfungen, diese nur nicht via Drag-and-Drop? Oder geht es auch nicht, wenn du Rechtsklick auf den Ordner machst -> Senden an...Desktop?
Gruß
Morgen
Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Für was wird dann ein Admin benötigt?
Zitat von @trmanky:
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also
wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern
anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden.
Was hat denn das Löschen von Verknüpfungen auf dem Desktop mit Arbeiten zu tun?Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also
wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern
anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden.
Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ne, das liegt am Admin. Am Benutzer kann es also nicht liegen.
Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Für was wird dann ein Admin benötigt?
Hallo,
Und hat vermutlich noch nie etwas mit Administrator / Richtlinien / Domänen / Computer in Domänen aufnehmen / SBS und sein Beiwerk etc. zu tun gehabt Bis heute abend 19 Uhr hat er noch Welpenschutz Danach muss das fluppen.
Aber ich sehe hier den Fallstrick bei der Aufnahem des Clients in der Domäne. Es stellt sich hier die Frage wie unser TO dies tatsächlich bewerkstelligt hat. Bedenkt, er hat ein SBS (hier ein 2003 oder gar ein 2003 R2). Da gibt es dann schon 2 Wege per Mausschubsen um das zu bewerkstelligen. Einmal über Computer - Einstellungen Ändern (Win 7) und dann den eigentlich normalen (richtigen) Weg beim SBS über ConnectComputer per Browser. Der letztere (Asisstenten gesteuert) fragt auch welche(r) Benutzer denn hier später Arbeiten wird und nimmt diese(n) dann in die Lokale Gruppe der Administratoren auf. Das ist "standard procedure" beim SBS. Also wurden hier einige Rechner per ConnectComputer und andere einfach per Arbeitsplatz (Win XP) / Computer (Win 7) in die Domäne aufgenommen. Bei letzterem wird natürlich kein Benutzer in der lokalen Gruppe der Administartoren automatisch aufgenommen (standard procedure bei nicht verwenden von SBS Asisstenten). Aber das ist alles nur geraten. Wir wissen es nicht.
Gruß,
Peter
Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Wäre sehr aufschlussreichNe, das liegt am Admin.
Gib ihm doch etwas Zeit. Er ist doch hals über Kopf in die Administartion rein geschubst worden ohne das er etwas dafür konnte (vermutlich gegen seinen Willen). Ist doch somit nicht sein Fehler Und hat vermutlich noch nie etwas mit Administrator / Richtlinien / Domänen / Computer in Domänen aufnehmen / SBS und sein Beiwerk etc. zu tun gehabt Bis heute abend 19 Uhr hat er noch Welpenschutz Danach muss das fluppen.Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Dito.Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
Dito. Ausser . . . SBS (2003) . . .BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Dito. Brauchen die wirklich nicht.Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen
Macht man nicht eher Win 7 Installieren, nötige Treiber für LAN drauf, in Domäne aufmehmen, weitere Software Installieren und der WSUS kümmert sich schon mal um die Updates .....Aber ich sehe hier den Fallstrick bei der Aufnahem des Clients in der Domäne. Es stellt sich hier die Frage wie unser TO dies tatsächlich bewerkstelligt hat. Bedenkt, er hat ein SBS (hier ein 2003 oder gar ein 2003 R2). Da gibt es dann schon 2 Wege per Mausschubsen um das zu bewerkstelligen. Einmal über Computer - Einstellungen Ändern (Win 7) und dann den eigentlich normalen (richtigen) Weg beim SBS über ConnectComputer per Browser. Der letztere (Asisstenten gesteuert) fragt auch welche(r) Benutzer denn hier später Arbeiten wird und nimmt diese(n) dann in die Lokale Gruppe der Administratoren auf. Das ist "standard procedure" beim SBS. Also wurden hier einige Rechner per ConnectComputer und andere einfach per Arbeitsplatz (Win XP) / Computer (Win 7) in die Domäne aufgenommen. Bei letzterem wird natürlich kein Benutzer in der lokalen Gruppe der Administartoren automatisch aufgenommen (standard procedure bei nicht verwenden von SBS Asisstenten). Aber das ist alles nur geraten. Wir wissen es nicht.
Gruß,
Peter
Haueha,
ganz schön viele Fragen, ich versuche mal, eure Fragen zu beantworten.
Als allererstes: die User müssen Programme installieren dürfen, weil sie viel unterwegs sind, und das als Techniker. Es wird dabei viel mit Software usw rumgespielt und deshalb müssen sie in der Hinsicht freies Geleit erhalten.
Wenn ich als User einen Ordner erstelle, kann ich diesen danach auch wieder löschen.
Einen WSUS haben wir nicht, ich muss leider per Hand updaten.
Den "SBS Assistenten" kenne ich gar nicht und habe ihn dann wohl auch nicht benutzt.
Ich hoffe das war's erst mal.
Danke für eure Mühen =)
ganz schön viele Fragen, ich versuche mal, eure Fragen zu beantworten.
Als allererstes: die User müssen Programme installieren dürfen, weil sie viel unterwegs sind, und das als Techniker. Es wird dabei viel mit Software usw rumgespielt und deshalb müssen sie in der Hinsicht freies Geleit erhalten.
Wenn ich als User einen Ordner erstelle, kann ich diesen danach auch wieder löschen.
Einen WSUS haben wir nicht, ich muss leider per Hand updaten.
Den "SBS Assistenten" kenne ich gar nicht und habe ihn dann wohl auch nicht benutzt.
Ich hoffe das war's erst mal.
Danke für eure Mühen =)
Hallo,
Wovon du leider nur ein Bruchteil beantwortet hast sodass wir nicht wirklich mehr wissen als vorher Es sind ja deine Probleme, nicht unsere.
Schau dir mal das http://deinservername/ oder http://connectcomputer/ oder http://companyweb/ mal genauer an. Auch mal eine https://eueredomaineoderip/remote/ oder ein https://eueredomainoderip/exchange/ solltets du dir mal anschauen und sehen wie diese sich unterscheiden, auch je nach Benutzerrechten.
Beim SBS werden Computer immer per http://connectcomputer/ aufgenommen. Dann hast du erstmal den Standard eines SBS Netztes, was auch bedeutet das der abgefragte Benutzer dann in der lokalen Gruppe der Administartoren ist. Soll die Arbeit in einem SBS Netz für nicht Admins erleichtern, ist also nicht best practice in einer nicht SBS umgebungen. Und somit tauchen schon die ersten Glaubensfragen wie "Benutzer = Admin" auf.
Lerne die Aisstenten des SBS kennen. Mehr braucht es fast nicht Und wer sich mit Server 2003(R2), DHCP, DNS, WINS, AD, WSUS, Exchange, Sharepoint Servicesm, IIS, ISA 2004, SQL Server 2000/2003/2005 usw. auskennt der kann nach den Aaisstenten dann auch selbst Hand anlegen, aber er wird immer zuerst die Asisstenten nehmen.
Gruß,
Peter
Wovon du leider nur ein Bruchteil beantwortet hast sodass wir nicht wirklich mehr wissen als vorher
Es sind ja deine Probleme, nicht unsere.viel mit Software usw rumgespielt
Genau das ist es. Es wird gespielt. Auch ein Techniker braucht keine Admin Rechte. Er kennt seinen Job sehr genau und weiß welche Werkzeuge er benötigt (vorher schon). Das ist nur eine Ausrede für einen Fualen Admin.Wenn ich als User einen Ordner erstelle, kann ich diesen danach auch wieder löschen.
Na also, geht doch, auch ohne Admin Rechte. Einen WSUS haben wir nicht, ich muss leider per Hand updaten.
Mal darüber nachdenken. Auch ein SBS 2003 (2003 R2) kann WSUS sein. Macht vor allem dir als Admin das Leben leichter. Und Anwender brauchen keine Admin Rechte um MS Updates einzuspielen.Den "SBS Assistenten" kenne ich gar nicht und habe ihn dann wohl auch nicht benutzt.
Der SBS ist mit Asisstenten nur so voll gestopft und hat auch seinen Grund. Genaus solltest du zuerst immer die Asisstenten verwenden. Danach die Asisstenten nehmen. erst dann, kannst du selbst Hand anlegen, sofern du das nötige Fachwissen im jeweiligen Bereich hast. Dann hast du lange Freude und wenig Arbeit mit einem SBS. Bedenke, ein SBS beinhaltet immer einen Server (hier 2003). Ein Server beinhaltet aber niemals einen SBS. Die Unterschiede sind teils sehr gross und nicht jeder kennt diese. Deshalb bei problemen immer klarstellen das es sich um einen SBS 2003(R2) handelt. Das hilft dir falsche Antworten zu bekommen.Schau dir mal das http://deinservername/ oder http://connectcomputer/ oder http://companyweb/ mal genauer an. Auch mal eine https://eueredomaineoderip/remote/ oder ein https://eueredomainoderip/exchange/ solltets du dir mal anschauen und sehen wie diese sich unterscheiden, auch je nach Benutzerrechten.
Beim SBS werden Computer immer per http://connectcomputer/ aufgenommen. Dann hast du erstmal den Standard eines SBS Netztes, was auch bedeutet das der abgefragte Benutzer dann in der lokalen Gruppe der Administartoren ist. Soll die Arbeit in einem SBS Netz für nicht Admins erleichtern, ist also nicht best practice in einer nicht SBS umgebungen. Und somit tauchen schon die ersten Glaubensfragen wie "Benutzer = Admin" auf.
Lerne die Aisstenten des SBS kennen. Mehr braucht es fast nicht
Und wer sich mit Server 2003(R2), DHCP, DNS, WINS, AD, WSUS, Exchange, Sharepoint Servicesm, IIS, ISA 2004, SQL Server 2000/2003/2005 usw. auskennt der kann nach den Aaisstenten dann auch selbst Hand anlegen, aber er wird immer zuerst die Asisstenten nehmen.Gruß,
Peter
Heyho,
das hat nichts mit fauler Admin zu tun, die Software wechselt ständig. Wir sind ein Betrieb, der Systeme zur Videoüberwachung vertreibt, und besonders Erkennungs- und Konfigurationssoftware für z.B. IP-Kameras bekommen laufend neue Versionen.
Auch unsere hauseigene Rekorder-Software benötigt mehr Rechte als normal.
Aber das hat mit dem eigentlichen Thema nichts zu tun.
Ich habe das Notebook nun mal aus der Domöne geschmissen und den SBS-Assistenten ausgeführt "http://servername/connectcomputer".
Zuerst einmal: sehr praktische Funktion, vielen Dank schon mal dafür.
Aber mein Problem hat das leider auch nicht gelöst, ich kann trotzdem nicht z.B. die Netzwerkeigenschaften verändern, was dem Benutzer auf seinem aktuellen Notebook möglich ist.
Was kann ich nun noch falsch gemacht haben?
VG
das hat nichts mit fauler Admin zu tun, die Software wechselt ständig. Wir sind ein Betrieb, der Systeme zur Videoüberwachung vertreibt, und besonders Erkennungs- und Konfigurationssoftware für z.B. IP-Kameras bekommen laufend neue Versionen.
Auch unsere hauseigene Rekorder-Software benötigt mehr Rechte als normal.
Aber das hat mit dem eigentlichen Thema nichts zu tun.
Ich habe das Notebook nun mal aus der Domöne geschmissen und den SBS-Assistenten ausgeführt "http://servername/connectcomputer".
Zuerst einmal: sehr praktische Funktion, vielen Dank schon mal dafür.
Aber mein Problem hat das leider auch nicht gelöst, ich kann trotzdem nicht z.B. die Netzwerkeigenschaften verändern, was dem Benutzer auf seinem aktuellen Notebook möglich ist.
Was kann ich nun noch falsch gemacht haben?
VG
Hat niemand mehr eine Idee, was ich noch versuchen kann?
Oder ist bei mir so sehr Hopfen und Malz verloren, dass sich antworten nicht lohnt? :D
Ich muss das echt irgendwie gewuppt kriegen.
VG
Oder ist bei mir so sehr Hopfen und Malz verloren, dass sich antworten nicht lohnt? :D
Ich muss das echt irgendwie gewuppt kriegen.
VG
Hallo,
1. Lokal am PC - rechte Maustaste auf Arbeitsplatz - Verwalten - Lokale Benutzer und Gruppen
Dort in der Gruppe! Administratoren muss erst einmal drin stehen:
\Domänen-Admins und dein Domänen-Benutzer
2. Über das AD vom Server - Auf den Computer - Verwalten - verwalten usw. wie oben.
Ansonsten auch mal hier gucken
Usern lokale Adminrechte auf bestimmten Clients per GPO geben
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Gruß
1. Lokal am PC - rechte Maustaste auf Arbeitsplatz - Verwalten - Lokale Benutzer und Gruppen
Dort in der Gruppe! Administratoren muss erst einmal drin stehen:
\Domänen-Admins und dein Domänen-Benutzer
2. Über das AD vom Server - Auf den Computer - Verwalten - verwalten usw. wie oben.
Ansonsten auch mal hier gucken
Usern lokale Adminrechte auf bestimmten Clients per GPO geben
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Gruß
Guten Morgen,
tausend Dank!!! Jetzt ist der Benutzer wirklich lokaler Admin und kann das tun, was er muss, um arbeiten zu können.
Ich danke dir vielmals. Meine schier endlose Suche nach einer Lösung hat endlich ein Ende.
VG
tausend Dank!!! Jetzt ist der Benutzer wirklich lokaler Admin und kann das tun, was er muss, um arbeiten zu können.
Ich danke dir vielmals. Meine schier endlose Suche nach einer Lösung hat endlich ein Ende.
VG
Gern geschehen.
Eine schöne Restwoche wünsche ich.
Gruß
Eine schöne Restwoche wünsche ich.
Gruß
