Domain Admin unter Windows 7 kein echter Admin
Hallo, ich habe ein kleiner Problem mit Windows 7 in der Domain.
nun zum Problem,
wenn ich mich auf einem W7 Client der in der Domain ist als Domainadmin anmelde,
versuche ich im Verzeichniss c:\Programme\xxx die Berechtigungen für das Verzeichnis zu ändern, kann ich dieses nicht auch nicht via Eigenschaften,.....
Habe es bereits mit dem Befehl "cacls" und ähnlichen versucht, leider ohne Erfolg. Bekomme immer ein Verbot
Ich kann zwar auf dem Client sagen "CMD" ausführen als Administrator und dann mit dem Befehl "cacls" die Änderung vornehmen, aber das ist nicht das was ich suche, ich würde gerne dieses Verzeichniss für alle Benutzer auf R/W setzen und das auch noch automatisiert für alle Clients.
Wer weiß Rat?, vielen Dank für die Hilfe.
gruß der Pulsar
nun zum Problem,
wenn ich mich auf einem W7 Client der in der Domain ist als Domainadmin anmelde,
versuche ich im Verzeichniss c:\Programme\xxx die Berechtigungen für das Verzeichnis zu ändern, kann ich dieses nicht auch nicht via Eigenschaften,.....
Habe es bereits mit dem Befehl "cacls" und ähnlichen versucht, leider ohne Erfolg. Bekomme immer ein Verbot
Ich kann zwar auf dem Client sagen "CMD" ausführen als Administrator und dann mit dem Befehl "cacls" die Änderung vornehmen, aber das ist nicht das was ich suche, ich würde gerne dieses Verzeichniss für alle Benutzer auf R/W setzen und das auch noch automatisiert für alle Clients.
Wer weiß Rat?, vielen Dank für die Hilfe.
gruß der Pulsar
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 132161
Url: https://administrator.de/contentid/132161
Ausgedruckt am: 07.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
Hi
Warum köönt Ihr Jungen Leute keine technet Artikel mehr lesen.
Oder euch mal mit dem Thema Sicherheit beschäftigen.
Ist das so schwierig??
Kannst auch mit Rechter Maustaste und "Ausführen als Administrator" so manches erledigen.
Die UAC ist schon neh Wunderbare Sache. Noch nicht so gut wie *nix dies vormacht, aber immerhin ein Schritt in die Richtige Richtung.
Ich würde ne Batch machen und diese vom Server ins Netlogon verzeichnis legen.
Dann im Logonscript dieses verknüpfen. Mit ner Liste welcher PC schon dieses Update gemacht hat.
Nur so als Vorschlag.
gruass affabanana
P.S.: nicht angegriffen füllen.
Warum köönt Ihr Jungen Leute keine technet Artikel mehr lesen.
Oder euch mal mit dem Thema Sicherheit beschäftigen.
Ist das so schwierig??
Kannst auch mit Rechter Maustaste und "Ausführen als Administrator" so manches erledigen.
Die UAC ist schon neh Wunderbare Sache. Noch nicht so gut wie *nix dies vormacht, aber immerhin ein Schritt in die Richtige Richtung.
Ich würde ne Batch machen und diese vom Server ins Netlogon verzeichnis legen.
Dann im Logonscript dieses verknüpfen. Mit ner Liste welcher PC schon dieses Update gemacht hat.
Nur so als Vorschlag.
gruass affabanana
P.S.: nicht angegriffen füllen.
Wenn Du im Useraccount Unter Profil und dort ein Aneldescript eintragst.
Läuft dieses beuim nächsten Anmelden mit Systemrechten.
Oder versuchs mit dem PSEXEC
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
Dann kannst Du remote alle deine PC abklappern.
PN an Biber der hat sicher eine Lösung für die Automatisierung dieser Aufgabe im Kopf.
Läuft dieses beuim nächsten Anmelden mit Systemrechten.
Oder versuchs mit dem PSEXEC
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
Dann kannst Du remote alle deine PC abklappern.
PN an Biber der hat sicher eine Lösung für die Automatisierung dieser Aufgabe im Kopf.
@affabanana
Ein Logonscript heißt auf deutsch Anmeldeskript. Es läuft, wenn der Nutzer sich anmeldet und zwar mit Nutzerrechten.
Ein Startskript läuft vor der Anmeldung und zwar mit Systemrechten.
Ein Logonscript heißt auf deutsch Anmeldeskript. Es läuft, wenn der Nutzer sich anmeldet und zwar mit Nutzerrechten.
Ein Startskript läuft vor der Anmeldung und zwar mit Systemrechten.
Hi.
Der Domänenadmin ist Mitglied der lokalen Admingruppe - seit Vista (also seit über 3 Jahren) sollte jedem bekannt sein (um nicht zu sagen MUSS), das dies nicht mehr wie bei xp bedeutet: "alles geht".
Mitglieder der lokalen Admingruppe haben nur noch die Möglichkeit, sich hohe Rechte zu verschaffen - ohne diese Hochstufung (UAC-Sicherheitsabfrage) haben sie keine Adminrechte.
Du kannst mehreres machen:
-Startskripte nutzen (keine UAC wird Dich behindern)
-GPPs oder GPOs benutzen (Dateien erzeugen und Rechte setzen)
-MSIs benutzen
-die Kommandozeile elevated starten (wie Du bereits rausgefunden hast)
-das Konto "administrator" aktivieren und nutzen (keine UAC aktiv, obwohl diese systemweit an ist) - auch über runas keine UAC.
Edit:
-die UAC abschalten ist natürlich auch eine Lösung, aber nur für Leute geeignet, die die Vorteile nicht sehen wollen.
Der Domänenadmin ist Mitglied der lokalen Admingruppe - seit Vista (also seit über 3 Jahren) sollte jedem bekannt sein (um nicht zu sagen MUSS), das dies nicht mehr wie bei xp bedeutet: "alles geht".
Mitglieder der lokalen Admingruppe haben nur noch die Möglichkeit, sich hohe Rechte zu verschaffen - ohne diese Hochstufung (UAC-Sicherheitsabfrage) haben sie keine Adminrechte.
Du kannst mehreres machen:
-Startskripte nutzen (keine UAC wird Dich behindern)
-GPPs oder GPOs benutzen (Dateien erzeugen und Rechte setzen)
-MSIs benutzen
-die Kommandozeile elevated starten (wie Du bereits rausgefunden hast)
-das Konto "administrator" aktivieren und nutzen (keine UAC aktiv, obwohl diese systemweit an ist) - auch über runas keine UAC.
Edit:
-die UAC abschalten ist natürlich auch eine Lösung, aber nur für Leute geeignet, die die Vorteile nicht sehen wollen.