Domänennutzer lokal als Standardnutzer?

Mitglied: MichiBLNN

MichiBLNN (Level 1) - Jetzt verbinden

13.10.2016 um 07:52 Uhr, 741 Aufrufe, 6 Kommentare, 3 Danke

Guten Tag,

ich habe eine Domäne auf Windows 2008 Basis und einige Benutzer (Domänen-Benutzer). Wenn sich ein Domänen-Benutzer an einem Rechner anmeldet, kommt bei allen Installationen bzw. Updates (z. B. Adobe Reader) die UAC Abfrage. Wie kann ich das umgehen? Also die Updates usw. sollen ohne UAC Abfrage erfolgen. Muss ich dazu den Domänen-Benutzer lokal in eine Gruppe (Benutzer bzw. Hauptnutzer) aufnehmen?

Gruß Michi
Mitglied: geocast
13.10.2016 um 08:08 Uhr
Updates entweder Zentral über eine Software verteilen z.B. GPO direkt oder WSUS, oder zig andere Lösungen.

Oder in den Sauren Apfel beißen und den Usern Adminrechte geben, was ich allerdings nicht machen würde.

Wir wissen jetzt nicht was du für Clients hast, aber ich gehe einfach mal von Windows 7 aus, wo der Hauptbenutzer überflüssig ist und keine bedeutung mehr hat. Es gibt Standarduser und Administrator
Bitte warten ..
Mitglied: MichiBLNN
13.10.2016 um 08:18 Uhr
Wir haben Win7 Pro. Dort gibt es die Gruppen Benutzer und Hauptbenutzer. Ich hatte gehofft, dass ich den Domänen-Benutzer in der lokalen Gruppe Hauptbenutzer aufnehme und das Problem damit behoben ist, ohne dem Domänen-Benutzer lokale Adminrechte zu geben.
Bitte warten ..
Mitglied: departure69
13.10.2016 um 08:20 Uhr
Hallo.

Das Domänen-Benutzer normale Standardbenutzer ohne jegliche administrative Rechte sind, ist nichts besonderes, sondern eigentlich Standard. So auch bei uns hier und sicherlich auch in den meisten Firmennetzwerken. An ihren Rechnern sind diese dann normale Benutzer, ohne administrative Rechte.

Für Windows Update brauchts keine erhöhten Rechte, doch Programme wie Adobe-Reader, Flash-Player, Java RE, Packer/Entpacker, also das ganze systemnahe Zeugs, das auf jedem Rechner installiert ist, brauchen für die Inst. ihrer Updates administrative Rechte.

Entweder Du beschäftigst Dich mit den vielfältigen Möglichkeiten von Softwareverteilung, um diese Updates jeweils zentral zu verteilen, dann muß der User nichts machen und kriegt somit auch keine Abfrage nach höheren Rechten.

Oder Du machst das lokal oder per Fernwartung für Deine Leute, sofern der Aufwand hierzu vertretbar ist (Du hast nicht dazugeschrieben, um wieviele Rechner es geht).

Oder, letzte und meines Erachtens schlechteste Möglichkeit: Du machst die Domänen-Benutzer direkt auf den Rechnern zu lokalen Admins, ja, das geht (Gruppe "Administratoren", "Benutzer" sind sie lokal sowieso, "Hauptbenutzer" würde dafür nichts nützen). Würde ich aber niemals nie und nicht machen, die können dann halt auch alles andere Mögliche und Unmögliche selber installieren, z. B. auch Software, die sie beliebig irgendwo herunterladen können oder von zu Hause mitgebracht haben und soweiter und sofort. Zum Beispiel auch Tools, um Dein ganzes Netzwerk zu durchsuchen. Spiele und allen Mist. Du kannst Dir vielleicht vorstellen, was spätestens nach einem Vierteljahr auf den Rechnern los ist. Das darfst Du dann aufräumen/entfernen/putzen, im schlimmsten Fall die Rechner neu installieren. Gefahren für das Einschleusen von Schadsoftware erhöhen sich massiv, Du kriegst nichts von Lizenzrechtsverletzungen mit u. w. m..

Mein Rat:

- entweder Du erledigst das für Deine Leute
- oder Du führst eine Softwareverteilung ein (was allerdings auch, zumindest zu Anfang, ein ziemlicher Aufwand ist)

Hier bei uns hat genau ein normaler Nutzer administrative Rechte, weil er die für ein ganz spezielles Programm benötigt, und dem ich aber auch vertraue. Wenn ich ab und zu auf seinen Rechner sehe, ist da alles, wie es sich gehört, d. h., er mißbraucht seine Rechte nicht.
Bitte warten ..
Mitglied: geocast
13.10.2016 um 08:22 Uhr
Um es mal zu Zitieren von jemand anderem:

Seit Vista gibt es die Hauptbenutzer-Gruppe nur noch aus
Kompatibilitätsgründen. Sie hat an keiner Stelle in Dateisystem oder
Registrierung oder sonst irgendwo noch mehr Rechte als ein Standardbenutzer.
Bitte warten ..
Mitglied: MichiBLNN
13.10.2016 um 08:35 Uhr
Vielen Dank für die ausführliche Antwort. Dann bleibt mir nur die Softwareverteilung per GPO.
Bitte warten ..
Mitglied: DerWoWusste
13.10.2016 um 10:04 Uhr
Hi.

Dann bleibt mir nur die Softwareverteilung per GPO.
Nein, du kannst auch per Wsus package publisher alles Mögliche bereitstellen. Dann kann das während der Windowssitzung installiert werden und braucht nicht extra einen Reboot.
Noch ein Hinweis: per GPO kann man Nutzern oder Computern zuweisen. Während an Computer Zugewiesenes beim Neustart installiert wird, kann das, was Du einem Nutzer zuweist, assigned oder published werden und somit "on demand" installiert werden, ungeachtet der Nutzerrechte.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless17 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 1011 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

Windows 10
Windows 10 NTP Zeitsynchronisation Windows Domäne (local cmos clock) Uhrzeit und Datum synchronisiert nicht
gelöst frunkyFrageWindows 1010 Kommentare

Hallo Zusammen, ich habe in meiner Domäne (Windows Server 2019) mit Windows 10 Pro als Clients Probleme mit der ...

IDE & Editoren
IDE Entwicklung, schreiben
gelöst IntershipFrageIDE & Editoren9 Kommentare

Hallo Leute, zur Zeit befasse ich mich mit dem Schreiben einer eigenen IDE. Hat jemand so etwas schon mal ...

Ähnliche Inhalte
Linux Netzwerk
FreeRadius Lokal
D1-aB-loFrageLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Windows Server
Lokal Drucken über RDP
gelöst Keule3112FrageWindows Server6 Kommentare

Hallo zusammen, villeicht habe ich einen Denkfehler, aber ich versuche mal mein Problem zu schildern. Ich habe auf meinem ...

Windows Netzwerk

WebDAV Verbindung wenn lokal dann lokal, wenn extern dann über extern

decoderFrageWindows Netzwerk3 Kommentare

Geht das irgendwie das ich immer Laufwerk D für die WebDAV Verbindung reservieren kann und wenn im Heimnetzwerk die ...

Windows Server

Sperrbildschirm lokal bei RDP Verbindung

gelöst rgieseFrageWindows Server1 Kommentar

Hallo! Habe folgendes Problem. Wenn ich eine RDP Verbindung zu unserem Terminalserver mache und dort nach einer auf dem ...

LAN, WAN, Wireless

IP Adresse lokal nicht erreichbar

fundave3FrageLAN, WAN, Wireless13 Kommentare

Guten Tag zusammen, Ich habe heute mal wieder ein Rätsel dabei wo Ich jetzt mal garnicht hinterblicke. Folgendes: Ich ...

LAN, WAN, Wireless

Mit aktivem VPN, lokal Drucken

gelöst BigbergFrageLAN, WAN, Wireless8 Kommentare

Homeoffice und habe VPN in unser Firmennetzwerk. Lokal bin ich mit meinem kleinen Home-Switch (192.168.1.x) verbunden, wo auch der ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT