10
Domänenbenutzern auf dem lokalen PC Adminrechte geben
Gruppenrichtlinien und eingeschränkte Gruppen
Hallo, bin auf der Suche nach einer Lösung zu o.g. Problem. Auf der Suche nach einer Lösung ist mir immer noch nicht klar geworden, ob es auf dem Server oder auf dem Client umgestellt (und was ??) werden muss.
Danke, Jochen
Danke, Jochen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 48804
Url: https://administrator.de/contentid/48804
Printed on: April 20, 2024 at 08:04 o'clock
10 Comments
Latest comment
hi!
du trägst einfach den Domainuser in die lokale Admin-Gruppe am PC ein!
fertig!
ob du das jetzt händisch machst oder per Policy ist egal.
jürgen
du trägst einfach den Domainuser in die lokale Admin-Gruppe am PC ein!
fertig!
ob du das jetzt händisch machst oder per Policy ist egal.
jürgen
da war einer schneller 
egal hier trotzdem meine antwort.
ich verstehe dein Problem nicht ganz.
Willst du bestimmten Domänenbenutzern auf einem lokalen PC Adminrechte geben und weist nicht wie das geht?
Du stellst dies auf dem jeweiligen Rechner ein unter.
Computerverwaltung > Lokale Benutzer und Gruppen > Gruppen > Administratoren >
Hinzufügen > Pfade ... (Domäne auswählen) Benutzernbame eingeben oder unter Erweitert suchen > fertig !!
Man könnte es auch via Gruppenrichtlinie machen, dann müsste man aber glaube ich für jeden PC ne eigene Gpo machen....aber ganz sicher bin ich mir da auch nicht. Ich stelle das immer an jedem Rechner bei der Installation ein.
Ich hoffe geholfen zu haben.
egal hier trotzdem meine antwort.ich verstehe dein Problem nicht ganz.
Willst du bestimmten Domänenbenutzern auf einem lokalen PC Adminrechte geben und weist nicht wie das geht?
Du stellst dies auf dem jeweiligen Rechner ein unter.
Computerverwaltung > Lokale Benutzer und Gruppen > Gruppen > Administratoren >
Hinzufügen > Pfade ... (Domäne auswählen) Benutzernbame eingeben oder unter Erweitert suchen > fertig !!
Man könnte es auch via Gruppenrichtlinie machen, dann müsste man aber glaube ich für jeden PC ne eigene Gpo machen....aber ganz sicher bin ich mir da auch nicht. Ich stelle das immer an jedem Rechner bei der Installation ein.
Ich hoffe geholfen zu haben.
Bei der localen Maschine:
Systemsteuerung / Verwaltung / Computerverwaltung / Benutzer und Gruppen /
Gruppe Administratoren dort den User hinzufügen.
Aber Achtung!
Dies ist ein erhebliches Sicherheitsrisiko.
Ich würde eher empfehlen mir "run as oder ausfuhren als" zu arbeiten.
Systemsteuerung / Verwaltung / Computerverwaltung / Benutzer und Gruppen /
Gruppe Administratoren dort den User hinzufügen.
Aber Achtung!
Dies ist ein erhebliches Sicherheitsrisiko.
Ich würde eher empfehlen mir "run as oder ausfuhren als" zu arbeiten.
Ist es ein Windows- oder Linuxserver?
Soll der User auf allen Clients oder nur auf einem Adminrechte haben?
Soll der User auf allen Clients oder nur auf einem Adminrechte haben?
In wie weit ist es gefährlich den Domaänen-User in die Admingruppe aufzunehmen?
Mal abgesehen davon das Adminrechte local natürlich eine gewisse
VErantwortung für den User mitbringen?
mfG.
Notesman
Mal abgesehen davon das Adminrechte local natürlich eine gewisse
VErantwortung für den User mitbringen?
mfG.
Notesman
OK, und genauso probier ich das auch. Ich bekomme jedoch nie den Pfad zur Domäne hin, sondern sehe immer nur den lokalen Pfad (also der PC selbst).
Irgendwo mach ich doch einen grandiosen Fehler !!!!!
Danke,
Jochen
Irgendwo mach ich doch einen grandiosen Fehler !!!!!
Danke,
Jochen
Ändere unter Suchpfad von deinem Rechner in die Domäne. Dann klickst auf Jetzt Suchen und es soltlen alle User aufgelistet werden.
Das Prinzip der eingeschränkten Gruppen über Gruppenrichtlinien ist ganz einfach. Ich mach das hier genauso. Ich hab im ADS z.B. zwei Gruppen. In die eine kommen die, die lokale Adminrechte bekommen sollen, in die andere die, die z.B. Hauptbenutzer sein sollen. Damit jeder lokal auf jedem Rechner die gleichen Rechte hat macht man das über die eingeschränkten Gruppen. Der Pfad im Gruppenrichtlinieneditor ist Computerkonfig->WindowsEinstellungen->Sicherheitseinstellungen->Eingeschränkte Gruppen.
Dort fügst du eine Gruppe hinzu und benennst sie entsprechend, also administratoren für die Admins. Man kann auch die Gruppen suchen, allerdings Hauptbenutzer z.B. gibt es auf dem Server nicht, diese muss man einfach ausschreiben. Bei den Mitgliedern dieser Gruppe (im Editor nicht im ADS!!!) fügst du dann die Gruppe hinzu die du im ADS angelegt hast. Fertig ist die Geschichte. Beacchte aber, dass Benutzer wie Domänen-Admins extra hinzugefügt werden müssen da die Einstellugnen von der GPO überschrieben werden.
Sollte meine Erklärung zu unverständlich sein, schau mal hier:
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Dort fügst du eine Gruppe hinzu und benennst sie entsprechend, also administratoren für die Admins. Man kann auch die Gruppen suchen, allerdings Hauptbenutzer z.B. gibt es auf dem Server nicht, diese muss man einfach ausschreiben. Bei den Mitgliedern dieser Gruppe (im Editor nicht im ADS!!!) fügst du dann die Gruppe hinzu die du im ADS angelegt hast. Fertig ist die Geschichte. Beacchte aber, dass Benutzer wie Domänen-Admins extra hinzugefügt werden müssen da die Einstellugnen von der GPO überschrieben werden.
Sollte meine Erklärung zu unverständlich sein, schau mal hier:
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Aber wo kann ich den Suchpfad ändern ?
Der lokale Admin kann Tools installieren, mit denen er die SAM auslesen kann - da stehen dann möglicherweise höherwertige Passworte drin, mit denen er die Kontrolle über die Domäne übernehmen kann.
Gefährlich genug?
Gefährlich genug?
