9
Domain Admin unter Windows 7 kein echter Admin
Hallo, ich habe ein kleiner Problem mit Windows 7 in der Domain.
nun zum Problem,
wenn ich mich auf einem W7 Client der in der Domain ist als Domainadmin anmelde,
versuche ich im Verzeichniss c:\Programme\xxx die Berechtigungen für das Verzeichnis zu ändern, kann ich dieses nicht auch nicht via Eigenschaften,.....
Habe es bereits mit dem Befehl "cacls" und ähnlichen versucht, leider ohne Erfolg. Bekomme immer ein Verbot
Ich kann zwar auf dem Client sagen "CMD" ausführen als Administrator und dann mit dem Befehl "cacls" die Änderung vornehmen, aber das ist nicht das was ich suche, ich würde gerne dieses Verzeichniss für alle Benutzer auf R/W setzen und das auch noch automatisiert für alle Clients.
Wer weiß Rat?, vielen Dank für die Hilfe.
gruß der Pulsar
nun zum Problem,
wenn ich mich auf einem W7 Client der in der Domain ist als Domainadmin anmelde,
versuche ich im Verzeichniss c:\Programme\xxx die Berechtigungen für das Verzeichnis zu ändern, kann ich dieses nicht auch nicht via Eigenschaften,.....
Habe es bereits mit dem Befehl "cacls" und ähnlichen versucht, leider ohne Erfolg. Bekomme immer ein Verbot
Ich kann zwar auf dem Client sagen "CMD" ausführen als Administrator und dann mit dem Befehl "cacls" die Änderung vornehmen, aber das ist nicht das was ich suche, ich würde gerne dieses Verzeichniss für alle Benutzer auf R/W setzen und das auch noch automatisiert für alle Clients.
Wer weiß Rat?, vielen Dank für die Hilfe.
gruß der Pulsar
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 132161
Url: https://administrator.de/contentid/132161
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
9 Kommentare
Neuester Kommentar
Hi Pulsar,
das liegt soweit ich weiß an der Benutzerkontensteuerung (UAC) von Windows 7 (die gabs auch unter Vista schon). Diese kannst du in der Systemsteuerung deaktiveren, dann solltest du wie auch unter XP gewohnt die Berechtigungen ändern können.
mfg
andi
das liegt soweit ich weiß an der Benutzerkontensteuerung (UAC) von Windows 7 (die gabs auch unter Vista schon). Diese kannst du in der Systemsteuerung deaktiveren, dann solltest du wie auch unter XP gewohnt die Berechtigungen ändern können.
mfg
andi
Hi
Warum köönt Ihr Jungen Leute keine technet Artikel mehr lesen.
Oder euch mal mit dem Thema Sicherheit beschäftigen.
Ist das so schwierig??
Kannst auch mit Rechter Maustaste und "Ausführen als Administrator" so manches erledigen.
Die UAC ist schon neh Wunderbare Sache. Noch nicht so gut wie *nix dies vormacht, aber immerhin ein Schritt in die Richtige Richtung.
Ich würde ne Batch machen und diese vom Server ins Netlogon verzeichnis legen.
Dann im Logonscript dieses verknüpfen. Mit ner Liste welcher PC schon dieses Update gemacht hat.
Nur so als Vorschlag.
gruass affabanana
P.S.: nicht angegriffen füllen.
Warum köönt Ihr Jungen Leute keine technet Artikel mehr lesen.
Oder euch mal mit dem Thema Sicherheit beschäftigen.
Ist das so schwierig??
Kannst auch mit Rechter Maustaste und "Ausführen als Administrator" so manches erledigen.
Die UAC ist schon neh Wunderbare Sache. Noch nicht so gut wie *nix dies vormacht, aber immerhin ein Schritt in die Richtige Richtung.
Ich würde ne Batch machen und diese vom Server ins Netlogon verzeichnis legen.
Dann im Logonscript dieses verknüpfen. Mit ner Liste welcher PC schon dieses Update gemacht hat.
Nur so als Vorschlag.
gruass affabanana
P.S.: nicht angegriffen füllen.
Hi,
fühle mich nicht angegriffen, aber so sorry, ich habe schon gegoogelt wie doof, nur der domain admin ist unter windows 7 nicht gleichzusetzen mit dem lokalen admin.
wie beschrieben mit dem lokalem admin kann ich ja die rechte setzen, vieleicht sollte ich dabei schreiben das ich die rechner via softwareverteilung ausstatte und versuche alles damit zu erschlagen, sprich windows7 installation und software, nur eine software hat ein eigenes autoupdate so das nur ein ordner in das programme verzeichnis kopiert wird (muß da liegen)
das problem ist das die software eine aktuallisierung anstößt, so das sie in dem program ordner lese schreib/rechte benötigt, die sie aber bei der verteilung nicht bekommt.
und da meines wissens das programme verzeichnis eh besonders behandelt wird, würde ich mich freun wenn mir jemand sagen kann wie ich als domainadmin dieses verzeichnis im programme ordner mit den rechten versehen kann.
das mit der batch ist mir auch eingefallen, aber wie sag ich der das ich admin bin bei windows 7, bei xp und 2000 kein problem???
danke für alles was hilft,
der Pulsar
fühle mich nicht angegriffen, aber so sorry, ich habe schon gegoogelt wie doof, nur der domain admin ist unter windows 7 nicht gleichzusetzen mit dem lokalen admin.
wie beschrieben mit dem lokalem admin kann ich ja die rechte setzen, vieleicht sollte ich dabei schreiben das ich die rechner via softwareverteilung ausstatte und versuche alles damit zu erschlagen, sprich windows7 installation und software, nur eine software hat ein eigenes autoupdate so das nur ein ordner in das programme verzeichnis kopiert wird (muß da liegen)
das problem ist das die software eine aktuallisierung anstößt, so das sie in dem program ordner lese schreib/rechte benötigt, die sie aber bei der verteilung nicht bekommt.
und da meines wissens das programme verzeichnis eh besonders behandelt wird, würde ich mich freun wenn mir jemand sagen kann wie ich als domainadmin dieses verzeichnis im programme ordner mit den rechten versehen kann.
das mit der batch ist mir auch eingefallen, aber wie sag ich der das ich admin bin bei windows 7, bei xp und 2000 kein problem???
danke für alles was hilft,
der Pulsar
hi andi,
ich habe schon viel versucht, danke für den tipp, ich werde ihn nochmal testen.
gruß der Pulsar
ich habe schon viel versucht, danke für den tipp, ich werde ihn nochmal testen.
gruß der Pulsar
Wenn Du im Useraccount Unter Profil und dort ein Aneldescript eintragst.
Läuft dieses beuim nächsten Anmelden mit Systemrechten.
Oder versuchs mit dem PSEXEC
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
Dann kannst Du remote alle deine PC abklappern.
PN an Biber der hat sicher eine Lösung für die Automatisierung dieser Aufgabe im Kopf.
Läuft dieses beuim nächsten Anmelden mit Systemrechten.
Oder versuchs mit dem PSEXEC
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
Dann kannst Du remote alle deine PC abklappern.
PN an Biber der hat sicher eine Lösung für die Automatisierung dieser Aufgabe im Kopf.
hi,
besten Dank werde es versuchen,
gruß der Pulsar
besten Dank werde es versuchen,
gruß der Pulsar
@affabanana
Ein Logonscript heißt auf deutsch Anmeldeskript. Es läuft, wenn der Nutzer sich anmeldet und zwar mit Nutzerrechten.
Ein Startskript läuft vor der Anmeldung und zwar mit Systemrechten.
Ein Logonscript heißt auf deutsch Anmeldeskript. Es läuft, wenn der Nutzer sich anmeldet und zwar mit Nutzerrechten.
Ein Startskript läuft vor der Anmeldung und zwar mit Systemrechten.
Hi.
Der Domänenadmin ist Mitglied der lokalen Admingruppe - seit Vista (also seit über 3 Jahren) sollte jedem bekannt sein (um nicht zu sagen MUSS), das dies nicht mehr wie bei xp bedeutet: "alles geht".
Mitglieder der lokalen Admingruppe haben nur noch die Möglichkeit, sich hohe Rechte zu verschaffen - ohne diese Hochstufung (UAC-Sicherheitsabfrage) haben sie keine Adminrechte.
Du kannst mehreres machen:
-Startskripte nutzen (keine UAC wird Dich behindern)
-GPPs oder GPOs benutzen (Dateien erzeugen und Rechte setzen)
-MSIs benutzen
-die Kommandozeile elevated starten (wie Du bereits rausgefunden hast)
-das Konto "administrator" aktivieren und nutzen (keine UAC aktiv, obwohl diese systemweit an ist) - auch über runas keine UAC.
Edit:
-die UAC abschalten ist natürlich auch eine Lösung, aber nur für Leute geeignet, die die Vorteile nicht sehen wollen.
Der Domänenadmin ist Mitglied der lokalen Admingruppe - seit Vista (also seit über 3 Jahren) sollte jedem bekannt sein (um nicht zu sagen MUSS), das dies nicht mehr wie bei xp bedeutet: "alles geht".
Mitglieder der lokalen Admingruppe haben nur noch die Möglichkeit, sich hohe Rechte zu verschaffen - ohne diese Hochstufung (UAC-Sicherheitsabfrage) haben sie keine Adminrechte.
Du kannst mehreres machen:
-Startskripte nutzen (keine UAC wird Dich behindern)
-GPPs oder GPOs benutzen (Dateien erzeugen und Rechte setzen)
-MSIs benutzen
-die Kommandozeile elevated starten (wie Du bereits rausgefunden hast)
-das Konto "administrator" aktivieren und nutzen (keine UAC aktiv, obwohl diese systemweit an ist) - auch über runas keine UAC.
Edit:
-die UAC abschalten ist natürlich auch eine Lösung, aber nur für Leute geeignet, die die Vorteile nicht sehen wollen.
Hi DerWoWusste,
werde ich alles testen und mir die beste Lösung raussuchen, wird aber jetzt erst zwischen den Tagen, da ich dann erst wieder in der 4ma bin
Recht herzlichen Dank für die vielen Vorschläge,
der Pulsar wünscht allen ein Frohes Fest.
werde ich alles testen und mir die beste Lösung raussuchen, wird aber jetzt erst zwischen den Tagen, da ich dann erst wieder in der 4ma bin
Recht herzlichen Dank für die vielen Vorschläge,
der Pulsar wünscht allen ein Frohes Fest.
