Bestimmter Computer ermöglicht Usern keine Rechte!
Hallo Administrator-Kollegen. Ich bin noch ziemlich neu in meinem Gebiet und bin Hals über Kopf in die Admin-Position gerutscht. Daher benötige ich jetzt eure Hilfe.
Ich habe ein Notebook mit Windows 7 neu aufsetzen müssen. Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen. Alles schön und gut.
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden. Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ich habe mir das Notebook im AD mal direkt angeschaut, ob vielleicht die Gruppen aus welchem Grund auch immer falsch eingestellt sind. Aber auch hier ist alles identisch mit den anderen Notebooks, auch die Sicherheitseinstellungen des Computers sind dieselben, wie bei anderen NBs. Ich habe sogar schon aus lauter Verzweiflung den Benutzer selbst in die Sicherheitseinstellung eingefügt und Vollzugriff erteilt. Aber das bringt auch keine Änderung.
Ich hoffe, ich konnte mein Problem ausareichend beschreiben. Über eure Hilfe wäre ich sehr dankbar. ich habe nämlich auch noch ein WinXP-NB mit demselben Problem. Dort habe ich das Problem mit nem lokalen Admin-Benutzer vertagt. Eine Dauerlösung ist das aber absolut nicht.
MfG
Ich habe ein Notebook mit Windows 7 neu aufsetzen müssen. Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen. Alles schön und gut.
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden. Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ich habe mir das Notebook im AD mal direkt angeschaut, ob vielleicht die Gruppen aus welchem Grund auch immer falsch eingestellt sind. Aber auch hier ist alles identisch mit den anderen Notebooks, auch die Sicherheitseinstellungen des Computers sind dieselben, wie bei anderen NBs. Ich habe sogar schon aus lauter Verzweiflung den Benutzer selbst in die Sicherheitseinstellung eingefügt und Vollzugriff erteilt. Aber das bringt auch keine Änderung.
Ich hoffe, ich konnte mein Problem ausareichend beschreiben. Über eure Hilfe wäre ich sehr dankbar. ich habe nämlich auch noch ein WinXP-NB mit demselben Problem. Dort habe ich das Problem mit nem lokalen Admin-Benutzer vertagt. Eine Dauerlösung ist das aber absolut nicht.
MfG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190600
Url: https://administrator.de/contentid/190600
Ausgedruckt am: 05.11.2024 um 10:11 Uhr
12 Kommentare
Neuester Kommentar
Morgen
Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Für was wird dann ein Admin benötigt?
Zitat von @trmanky:
Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also
wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern
anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden.
Was hat denn das Löschen von Verknüpfungen auf dem Desktop mit Arbeiten zu tun?Wenn ich mich nun aber mit dem Benutzer, der das Notebook erhalten soll, anmelde, hat dieser Null Rechte auf dem Gerät. Also
wirklich Null. Man darf nicht einmal eine Verknüpfung auf dem Desktop entfernen. Auch wenn ich mich mit anderen Benutzern
anmelde, haben diese keine Berechtigung. Nur wenn ich mich als Admin anmelde, kann damit gearbeitet werden.
Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Dieser Benutzer hat aber auf seinem bisherigen Laptop alle nötigen Rechte (Programme installieren, Netzwerkverbindungen ändern, usw.).
Am Benutzer kann es also nicht liegen.
Ne, das liegt am Admin. Am Benutzer kann es also nicht liegen.
Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Für was wird dann ein Admin benötigt?
Hallo,
Aber ich sehe hier den Fallstrick bei der Aufnahem des Clients in der Domäne. Es stellt sich hier die Frage wie unser TO dies tatsächlich bewerkstelligt hat. Bedenkt, er hat ein SBS (hier ein 2003 oder gar ein 2003 R2). Da gibt es dann schon 2 Wege per Mausschubsen um das zu bewerkstelligen. Einmal über Computer - Einstellungen Ändern (Win 7) und dann den eigentlich normalen (richtigen) Weg beim SBS über ConnectComputer per Browser. Der letztere (Asisstenten gesteuert) fragt auch welche(r) Benutzer denn hier später Arbeiten wird und nimmt diese(n) dann in die Lokale Gruppe der Administratoren auf. Das ist "standard procedure" beim SBS. Also wurden hier einige Rechner per ConnectComputer und andere einfach per Arbeitsplatz (Win XP) / Computer (Win 7) in die Domäne aufgenommen. Bei letzterem wird natürlich kein Benutzer in der lokalen Gruppe der Administartoren automatisch aufgenommen (standard procedure bei nicht verwenden von SBS Asisstenten). Aber das ist alles nur geraten. Wir wissen es nicht.
Gruß,
Peter
Wenn du als Benutzer angemeldet bist und eine Datei auf dem Desktop erstellst, kannst du diese dann löschen?
Wäre sehr aufschlussreichNe, das liegt am Admin.
Gib ihm doch etwas Zeit. Er ist doch hals über Kopf in die Administartion rein geschubst worden ohne das er etwas dafür konnte (vermutlich gegen seinen Willen). Ist doch somit nicht sein Fehler Und hat vermutlich noch nie etwas mit Administrator / Richtlinien / Domänen / Computer in Domänen aufnehmen / SBS und sein Beiwerk etc. zu tun gehabt Bis heute abend 19 Uhr hat er noch Welpenschutz Danach muss das fluppen.Wenn der User vorher Programme installieren konnte, war er an dem Gerät lokaler Administrator.
Dito.Das wird ein einfacher Domänen-Benutzer aber nicht automatisch auf einem neuen Gerät.
Dito. Ausser . . . SBS (2003) . . .BTW: Warum zum Teufel müssen Benutzer Programme installieren dürfen/können?
Dito. Brauchen die wirklich nicht.Habe Win7 installiert, Updates gezogen, fehlende Treiber installiert und das Notebook danach in unsere Domäne aufgenommen
Macht man nicht eher Win 7 Installieren, nötige Treiber für LAN drauf, in Domäne aufmehmen, weitere Software Installieren und der WSUS kümmert sich schon mal um die Updates .....Aber ich sehe hier den Fallstrick bei der Aufnahem des Clients in der Domäne. Es stellt sich hier die Frage wie unser TO dies tatsächlich bewerkstelligt hat. Bedenkt, er hat ein SBS (hier ein 2003 oder gar ein 2003 R2). Da gibt es dann schon 2 Wege per Mausschubsen um das zu bewerkstelligen. Einmal über Computer - Einstellungen Ändern (Win 7) und dann den eigentlich normalen (richtigen) Weg beim SBS über ConnectComputer per Browser. Der letztere (Asisstenten gesteuert) fragt auch welche(r) Benutzer denn hier später Arbeiten wird und nimmt diese(n) dann in die Lokale Gruppe der Administratoren auf. Das ist "standard procedure" beim SBS. Also wurden hier einige Rechner per ConnectComputer und andere einfach per Arbeitsplatz (Win XP) / Computer (Win 7) in die Domäne aufgenommen. Bei letzterem wird natürlich kein Benutzer in der lokalen Gruppe der Administartoren automatisch aufgenommen (standard procedure bei nicht verwenden von SBS Asisstenten). Aber das ist alles nur geraten. Wir wissen es nicht.
Gruß,
Peter
Hallo,
Wovon du leider nur ein Bruchteil beantwortet hast sodass wir nicht wirklich mehr wissen als vorher Es sind ja deine Probleme, nicht unsere.
Schau dir mal das http://deinservername/ oder http://connectcomputer/ oder http://companyweb/ mal genauer an. Auch mal eine https://eueredomaineoderip/remote/ oder ein https://eueredomainoderip/exchange/ solltets du dir mal anschauen und sehen wie diese sich unterscheiden, auch je nach Benutzerrechten.
Beim SBS werden Computer immer per http://connectcomputer/ aufgenommen. Dann hast du erstmal den Standard eines SBS Netztes, was auch bedeutet das der abgefragte Benutzer dann in der lokalen Gruppe der Administartoren ist. Soll die Arbeit in einem SBS Netz für nicht Admins erleichtern, ist also nicht best practice in einer nicht SBS umgebungen. Und somit tauchen schon die ersten Glaubensfragen wie "Benutzer = Admin" auf.
Lerne die Aisstenten des SBS kennen. Mehr braucht es fast nicht Und wer sich mit Server 2003(R2), DHCP, DNS, WINS, AD, WSUS, Exchange, Sharepoint Servicesm, IIS, ISA 2004, SQL Server 2000/2003/2005 usw. auskennt der kann nach den Aaisstenten dann auch selbst Hand anlegen, aber er wird immer zuerst die Asisstenten nehmen.
Gruß,
Peter
Wovon du leider nur ein Bruchteil beantwortet hast sodass wir nicht wirklich mehr wissen als vorher Es sind ja deine Probleme, nicht unsere.
viel mit Software usw rumgespielt
Genau das ist es. Es wird gespielt. Auch ein Techniker braucht keine Admin Rechte. Er kennt seinen Job sehr genau und weiß welche Werkzeuge er benötigt (vorher schon). Das ist nur eine Ausrede für einen Fualen Admin.Wenn ich als User einen Ordner erstelle, kann ich diesen danach auch wieder löschen.
Na also, geht doch, auch ohne Admin Rechte. Einen WSUS haben wir nicht, ich muss leider per Hand updaten.
Mal darüber nachdenken. Auch ein SBS 2003 (2003 R2) kann WSUS sein. Macht vor allem dir als Admin das Leben leichter. Und Anwender brauchen keine Admin Rechte um MS Updates einzuspielen.Den "SBS Assistenten" kenne ich gar nicht und habe ihn dann wohl auch nicht benutzt.
Der SBS ist mit Asisstenten nur so voll gestopft und hat auch seinen Grund. Genaus solltest du zuerst immer die Asisstenten verwenden. Danach die Asisstenten nehmen. erst dann, kannst du selbst Hand anlegen, sofern du das nötige Fachwissen im jeweiligen Bereich hast. Dann hast du lange Freude und wenig Arbeit mit einem SBS. Bedenke, ein SBS beinhaltet immer einen Server (hier 2003). Ein Server beinhaltet aber niemals einen SBS. Die Unterschiede sind teils sehr gross und nicht jeder kennt diese. Deshalb bei problemen immer klarstellen das es sich um einen SBS 2003(R2) handelt. Das hilft dir falsche Antworten zu bekommen.Schau dir mal das http://deinservername/ oder http://connectcomputer/ oder http://companyweb/ mal genauer an. Auch mal eine https://eueredomaineoderip/remote/ oder ein https://eueredomainoderip/exchange/ solltets du dir mal anschauen und sehen wie diese sich unterscheiden, auch je nach Benutzerrechten.
Beim SBS werden Computer immer per http://connectcomputer/ aufgenommen. Dann hast du erstmal den Standard eines SBS Netztes, was auch bedeutet das der abgefragte Benutzer dann in der lokalen Gruppe der Administartoren ist. Soll die Arbeit in einem SBS Netz für nicht Admins erleichtern, ist also nicht best practice in einer nicht SBS umgebungen. Und somit tauchen schon die ersten Glaubensfragen wie "Benutzer = Admin" auf.
Lerne die Aisstenten des SBS kennen. Mehr braucht es fast nicht Und wer sich mit Server 2003(R2), DHCP, DNS, WINS, AD, WSUS, Exchange, Sharepoint Servicesm, IIS, ISA 2004, SQL Server 2000/2003/2005 usw. auskennt der kann nach den Aaisstenten dann auch selbst Hand anlegen, aber er wird immer zuerst die Asisstenten nehmen.
Gruß,
Peter
Hallo,
1. Lokal am PC - rechte Maustaste auf Arbeitsplatz - Verwalten - Lokale Benutzer und Gruppen
Dort in der Gruppe! Administratoren muss erst einmal drin stehen:
\Domänen-Admins und dein Domänen-Benutzer
2. Über das AD vom Server - Auf den Computer - Verwalten - verwalten usw. wie oben.
Ansonsten auch mal hier gucken
Usern lokale Adminrechte auf bestimmten Clients per GPO geben
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Gruß
1. Lokal am PC - rechte Maustaste auf Arbeitsplatz - Verwalten - Lokale Benutzer und Gruppen
Dort in der Gruppe! Administratoren muss erst einmal drin stehen:
\Domänen-Admins und dein Domänen-Benutzer
2. Über das AD vom Server - Auf den Computer - Verwalten - verwalten usw. wie oben.
Ansonsten auch mal hier gucken
Usern lokale Adminrechte auf bestimmten Clients per GPO geben
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Gruß