userpulsar
Goto Top

Domain Admin unter Windows 7 kein echter Admin

Hallo, ich habe ein kleiner Problem mit Windows 7 in der Domain.

nun zum Problem,

wenn ich mich auf einem W7 Client der in der Domain ist als Domainadmin anmelde,
versuche ich im Verzeichniss c:\Programme\xxx die Berechtigungen für das Verzeichnis zu ändern, kann ich dieses nicht auch nicht via Eigenschaften,.....

Habe es bereits mit dem Befehl "cacls" und ähnlichen versucht, leider ohne Erfolg. Bekomme immer ein Verbot face-sad

Ich kann zwar auf dem Client sagen "CMD" ausführen als Administrator und dann mit dem Befehl "cacls" die Änderung vornehmen, aber das ist nicht das was ich suche, ich würde gerne dieses Verzeichniss für alle Benutzer auf R/W setzen und das auch noch automatisiert für alle Clients.

Wer weiß Rat?, vielen Dank für die Hilfe.


gruß der Pulsar

Content-ID: 132161

Url: https://administrator.de/contentid/132161

Ausgedruckt am: 07.11.2024 um 22:11 Uhr

n4426
n4426 22.12.2009 um 18:05:31 Uhr
Goto Top
Hi Pulsar,

das liegt soweit ich weiß an der Benutzerkontensteuerung (UAC) von Windows 7 (die gabs auch unter Vista schon). Diese kannst du in der Systemsteuerung deaktiveren, dann solltest du wie auch unter XP gewohnt die Berechtigungen ändern können.

mfg
andi
affabanana
affabanana 22.12.2009 um 19:47:03 Uhr
Goto Top
Hi

Warum köönt Ihr Jungen Leute keine technet Artikel mehr lesen.

Oder euch mal mit dem Thema Sicherheit beschäftigen.

Ist das so schwierig??

Kannst auch mit Rechter Maustaste und "Ausführen als Administrator" so manches erledigen.
Die UAC ist schon neh Wunderbare Sache. Noch nicht so gut wie *nix dies vormacht, aber immerhin ein Schritt in die Richtige Richtung.

Ich würde ne Batch machen und diese vom Server ins Netlogon verzeichnis legen.
Dann im Logonscript dieses verknüpfen. Mit ner Liste welcher PC schon dieses Update gemacht hat.

Nur so als Vorschlag.

gruass affabanana

P.S.: nicht angegriffen füllen.
userpulsar
userpulsar 22.12.2009 um 20:21:15 Uhr
Goto Top
Hi,

fühle mich nicht angegriffen, aber so sorry, ich habe schon gegoogelt wie doof, nur der domain admin ist unter windows 7 nicht gleichzusetzen mit dem lokalen admin.
wie beschrieben mit dem lokalem admin kann ich ja die rechte setzen, vieleicht sollte ich dabei schreiben das ich die rechner via softwareverteilung ausstatte und versuche alles damit zu erschlagen, sprich windows7 installation und software, nur eine software hat ein eigenes autoupdate so das nur ein ordner in das programme verzeichnis kopiert wird (muß da liegen)

das problem ist das die software eine aktuallisierung anstößt, so das sie in dem program ordner lese schreib/rechte benötigt, die sie aber bei der verteilung nicht bekommt.
und da meines wissens das programme verzeichnis eh besonders behandelt wird, würde ich mich freun wenn mir jemand sagen kann wie ich als domainadmin dieses verzeichnis im programme ordner mit den rechten versehen kann.

das mit der batch ist mir auch eingefallen, aber wie sag ich der das ich admin bin bei windows 7, bei xp und 2000 kein problem???

danke für alles was hilft,

der Pulsar
userpulsar
userpulsar 22.12.2009 um 20:22:12 Uhr
Goto Top
hi andi,

ich habe schon viel versucht, danke für den tipp, ich werde ihn nochmal testen.

gruß der Pulsar
affabanana
affabanana 22.12.2009 um 20:58:58 Uhr
Goto Top
Wenn Du im Useraccount Unter Profil und dort ein Aneldescript eintragst.
Läuft dieses beuim nächsten Anmelden mit Systemrechten.

Oder versuchs mit dem PSEXEC

http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

Dann kannst Du remote alle deine PC abklappern.

PN an Biber der hat sicher eine Lösung für die Automatisierung dieser Aufgabe im Kopf.
userpulsar
userpulsar 23.12.2009 um 09:42:45 Uhr
Goto Top
hi,

besten Dank werde es versuchen,

gruß der Pulsar
DerWoWusste
DerWoWusste 23.12.2009 um 14:28:18 Uhr
Goto Top
@affabanana
Ein Logonscript heißt auf deutsch Anmeldeskript. Es läuft, wenn der Nutzer sich anmeldet und zwar mit Nutzerrechten.
Ein Startskript läuft vor der Anmeldung und zwar mit Systemrechten.
DerWoWusste
DerWoWusste 23.12.2009 um 14:33:59 Uhr
Goto Top
Hi.
Der Domänenadmin ist Mitglied der lokalen Admingruppe - seit Vista (also seit über 3 Jahren) sollte jedem bekannt sein (um nicht zu sagen MUSS), das dies nicht mehr wie bei xp bedeutet: "alles geht".
Mitglieder der lokalen Admingruppe haben nur noch die Möglichkeit, sich hohe Rechte zu verschaffen - ohne diese Hochstufung (UAC-Sicherheitsabfrage) haben sie keine Adminrechte.

Du kannst mehreres machen:
-Startskripte nutzen (keine UAC wird Dich behindern)
-GPPs oder GPOs benutzen (Dateien erzeugen und Rechte setzen)
-MSIs benutzen
-die Kommandozeile elevated starten (wie Du bereits rausgefunden hast)
-das Konto "administrator" aktivieren und nutzen (keine UAC aktiv, obwohl diese systemweit an ist) - auch über runas keine UAC.

Edit:
-die UAC abschalten ist natürlich auch eine Lösung, aber nur für Leute geeignet, die die Vorteile nicht sehen wollen.
userpulsar
userpulsar 23.12.2009 um 18:41:06 Uhr
Goto Top
Hi DerWoWusste,


werde ich alles testen und mir die beste Lösung raussuchen, wird aber jetzt erst zwischen den Tagen, da ich dann erst wieder in der 4ma bin face-wink

Recht herzlichen Dank für die vielen Vorschläge,

der Pulsar wünscht allen ein Frohes Fest.