michiblnn
Goto Top

Domänennutzer lokal als Standardnutzer?

Guten Tag,

ich habe eine Domäne auf Windows 2008 Basis und einige Benutzer (Domänen-Benutzer). Wenn sich ein Domänen-Benutzer an einem Rechner anmeldet, kommt bei allen Installationen bzw. Updates (z. B. Adobe Reader) die UAC Abfrage. Wie kann ich das umgehen? Also die Updates usw. sollen ohne UAC Abfrage erfolgen. Muss ich dazu den Domänen-Benutzer lokal in eine Gruppe (Benutzer bzw. Hauptnutzer) aufnehmen?

Gruß Michi

Content-ID: 317692

Url: https://administrator.de/contentid/317692

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

geocast
geocast 13.10.2016 um 08:08:46 Uhr
Goto Top
Updates entweder Zentral über eine Software verteilen z.B. GPO direkt oder WSUS, oder zig andere Lösungen.

Oder in den Sauren Apfel beißen und den Usern Adminrechte geben, was ich allerdings nicht machen würde.

Wir wissen jetzt nicht was du für Clients hast, aber ich gehe einfach mal von Windows 7 aus, wo der Hauptbenutzer überflüssig ist und keine bedeutung mehr hat. Es gibt Standarduser und Administrator
MichiBLNN
MichiBLNN 13.10.2016 um 08:18:28 Uhr
Goto Top
Wir haben Win7 Pro. Dort gibt es die Gruppen Benutzer und Hauptbenutzer. Ich hatte gehofft, dass ich den Domänen-Benutzer in der lokalen Gruppe Hauptbenutzer aufnehme und das Problem damit behoben ist, ohne dem Domänen-Benutzer lokale Adminrechte zu geben.
departure69
departure69 13.10.2016 um 08:20:48 Uhr
Goto Top
Hallo.

Das Domänen-Benutzer normale Standardbenutzer ohne jegliche administrative Rechte sind, ist nichts besonderes, sondern eigentlich Standard. So auch bei uns hier und sicherlich auch in den meisten Firmennetzwerken. An ihren Rechnern sind diese dann normale Benutzer, ohne administrative Rechte.

Für Windows Update brauchts keine erhöhten Rechte, doch Programme wie Adobe-Reader, Flash-Player, Java RE, Packer/Entpacker, also das ganze systemnahe Zeugs, das auf jedem Rechner installiert ist, brauchen für die Inst. ihrer Updates administrative Rechte.

Entweder Du beschäftigst Dich mit den vielfältigen Möglichkeiten von Softwareverteilung, um diese Updates jeweils zentral zu verteilen, dann muß der User nichts machen und kriegt somit auch keine Abfrage nach höheren Rechten.

Oder Du machst das lokal oder per Fernwartung für Deine Leute, sofern der Aufwand hierzu vertretbar ist (Du hast nicht dazugeschrieben, um wieviele Rechner es geht).

Oder, letzte und meines Erachtens schlechteste Möglichkeit: Du machst die Domänen-Benutzer direkt auf den Rechnern zu lokalen Admins, ja, das geht (Gruppe "Administratoren", "Benutzer" sind sie lokal sowieso, "Hauptbenutzer" würde dafür nichts nützen). Würde ich aber niemals nie und nicht machen, die können dann halt auch alles andere Mögliche und Unmögliche selber installieren, z. B. auch Software, die sie beliebig irgendwo herunterladen können oder von zu Hause mitgebracht haben und soweiter und sofort. Zum Beispiel auch Tools, um Dein ganzes Netzwerk zu durchsuchen. Spiele und allen Mist. Du kannst Dir vielleicht vorstellen, was spätestens nach einem Vierteljahr auf den Rechnern los ist. Das darfst Du dann aufräumen/entfernen/putzen, im schlimmsten Fall die Rechner neu installieren. Gefahren für das Einschleusen von Schadsoftware erhöhen sich massiv, Du kriegst nichts von Lizenzrechtsverletzungen mit u. w. m..

Mein Rat:

- entweder Du erledigst das für Deine Leute
- oder Du führst eine Softwareverteilung ein (was allerdings auch, zumindest zu Anfang, ein ziemlicher Aufwand ist)

Hier bei uns hat genau ein normaler Nutzer administrative Rechte, weil er die für ein ganz spezielles Programm benötigt, und dem ich aber auch vertraue. Wenn ich ab und zu auf seinen Rechner sehe, ist da alles, wie es sich gehört, d. h., er mißbraucht seine Rechte nicht.
geocast
geocast 13.10.2016 um 08:22:05 Uhr
Goto Top
Um es mal zu Zitieren von jemand anderem:

Seit Vista gibt es die Hauptbenutzer-Gruppe nur noch aus
Kompatibilitätsgründen. Sie hat an keiner Stelle in Dateisystem oder
Registrierung oder sonst irgendwo noch mehr Rechte als ein Standardbenutzer.
MichiBLNN
MichiBLNN 13.10.2016 um 08:35:04 Uhr
Goto Top
Vielen Dank für die ausführliche Antwort. Dann bleibt mir nur die Softwareverteilung per GPO.
DerWoWusste
DerWoWusste 13.10.2016 um 10:04:29 Uhr
Goto Top
Hi.

Dann bleibt mir nur die Softwareverteilung per GPO.
Nein, du kannst auch per Wsus package publisher alles Mögliche bereitstellen. Dann kann das während der Windowssitzung installiert werden und braucht nicht extra einen Reboot.
Noch ein Hinweis: per GPO kann man Nutzern oder Computern zuweisen. Während an Computer Zugewiesenes beim Neustart installiert wird, kann das, was Du einem Nutzer zuweist, assigned oder published werden und somit "on demand" installiert werden, ungeachtet der Nutzerrechte.