15
Domain Benutzer können keine Programme installieren
Hallo liebes Forum!
Ich habe einen Windows server 2003 laufen und habe das problem, dass Domain Benutzer keine Programme am jeweiligen PC installieren dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte um eure Hilfe!
Vielen Dank im Voraus!
Ich habe einen Windows server 2003 laufen und habe das problem, dass Domain Benutzer keine Programme am jeweiligen PC installieren dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte um eure Hilfe!
Vielen Dank im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158892
Url: https://administrator.de/contentid/158892
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
15 Kommentare
Neuester Kommentar
die Benutzer sind aber als Domain Admin eingetragen.
= FAIL!!!
Das macht man sauber über eine Gruppenrichtlinie! Deine Benutzer sollen bestimmt keine Domain-Administrations-Rechte haben.
Warum das Sinn macht, sollte Dir sich spätestens ergeben, wenn einer Deiner "Admins" an einem deiner Server gefummlt hat.
Können sie denn andere administrative Tätigkeiten vornehmen? E.g. Uhr stellen
Warum sind deine Nutzer Domänenadmins?
Mit freundlichen Grüßen
Leon W.
Warum sind deine Nutzer Domänenadmins?
Mit freundlichen Grüßen
Leon W.
Moin!
OMG - zu geil - jeder hat Domänen-Admin-Rechte?
Nur am Rande: Zur LOKALEN Installation benötigt man LOKALE Admin-Rechte und keine Domänen-Admin-Rechte...
Ich empfehle Dir zunächst einmal schnellstens allen (bis auf den wirklichen Domänen-Admins natürlich) die Rechte wieder zu nehmen.
Dann würde ich auf gar keinen Fall jeden Software installieren lassen.
Das solltest Du besser händisch , per Batch (Loginscript) oder per Softwareverteilung machen.
Gruß,
BAMBOIHH
OMG - zu geil - jeder hat Domänen-Admin-Rechte?
Nur am Rande: Zur LOKALEN Installation benötigt man LOKALE Admin-Rechte und keine Domänen-Admin-Rechte...
Ich empfehle Dir zunächst einmal schnellstens allen (bis auf den wirklichen Domänen-Admins natürlich) die Rechte wieder zu nehmen.
Dann würde ich auf gar keinen Fall jeden Software installieren lassen.
Das solltest Du besser händisch , per Batch (Loginscript) oder per Softwareverteilung machen.
Gruß,
BAMBOIHH
OMFG
Ich würde dir empfehlen die Finger von Systemen zu lassen von denen man keine Ahnung hat.
Wenn lernen willst dann bau dir ein virtuelles Netz zusammen, leg dir Bücher zu und lies sie auch!
Da wundern sich oft Firmen warum ihrer Daten verschwinden hm.......
Ich würde dir empfehlen die Finger von Systemen zu lassen von denen man keine Ahnung hat.
Wenn lernen willst dann bau dir ein virtuelles Netz zusammen, leg dir Bücher zu und lies sie auch!
Da wundern sich oft Firmen warum ihrer Daten verschwinden hm.......
Ich möchte nicht unhöflich sein,
aber du musst den leuten sofort die adminrechte entziehen. Wofür hat man bitte eine Domäne wenn dann doch wieder alle admin sind?
und wenn du schon dabei bist solltest du dir selber auch gleich die Adminrechte nehmen.
aber du musst den leuten sofort die adminrechte entziehen. Wofür hat man bitte eine Domäne wenn dann doch wieder alle admin sind?
und wenn du schon dabei bist solltest du dir selber auch gleich die Adminrechte nehmen.
Hallo Danke für eure Antworten!
Es funktioniert auf allen PCs bis auf einem, dieser wurde neu aufgesetzt. Hier sind lokale Admin Konten vorhanden.
Ich brauche keine großartigen Gruppenrichtlinien, da wir nur eine sehr kleine Firma sind(3 Personen), ich will einfach nur, dass ich auf den einem PC wenn ich mich an die Domaine anmelde von dem Benutzerkonto aus auch wieder Programme installieren kann.
Ich dachte wenn ich den Benutzern die sich auf diesem PC anmelden den Domain Admin gebe, können sie auch Programme installieren.
Uhr umstellen und so funktioniert ja alles.
Vielen Dank für eure Unterstützung!
Es funktioniert auf allen PCs bis auf einem, dieser wurde neu aufgesetzt. Hier sind lokale Admin Konten vorhanden.
Ich brauche keine großartigen Gruppenrichtlinien, da wir nur eine sehr kleine Firma sind(3 Personen), ich will einfach nur, dass ich auf den einem PC wenn ich mich an die Domaine anmelde von dem Benutzerkonto aus auch wieder Programme installieren kann.
Ich dachte wenn ich den Benutzern die sich auf diesem PC anmelden den Domain Admin gebe, können sie auch Programme installieren.
Uhr umstellen und so funktioniert ja alles.
Vielen Dank für eure Unterstützung!
Kann meinen Vorrednern nur zustimmen. Die gesamte Domäne macht 0,0 Sinn, wenn man alle Benutzer zu Domänen-Admins macht. Absolut riskante und unnötige Sicherheitslücke.
Da kann man sich die ganzen Windows Server sparen und ein Peer-to-Peer-Netzwerk mit ner Linux-Maschine mit Samba als Fileserver aufbauen. Spart nen ganzen Haufen Geld.
Da kann man sich die ganzen Windows Server sparen und ein Peer-to-Peer-Netzwerk mit ner Linux-Maschine mit Samba als Fileserver aufbauen. Spart nen ganzen Haufen Geld.
Entweder Du legst Dir eine Gruppenrichtlinie an, oder Du gehst wieder auf den Arbeitsgruppen-Betrieb zurück.
Hier: http://openbook.galileocomputing.de/windows_server_2008/ ein wenig Lektüre für Dich.
Hier: http://openbook.galileocomputing.de/windows_server_2008/ ein wenig Lektüre für Dich.
Für 3 Leute braucht man keine Domain...
Arbeitsgruppe, shares und fertig. Nicht mal DNS braucht man wegen netbios oder der Nachbarankündigung (IPV6) frag mich nicht wie es genau heißt.
Aber die Domain für 3 Hansel ist sinnlos und wenn man nicht genügend Kenntnisse hat auch noch gefährlich.
mfg lenny
Arbeitsgruppe, shares und fertig. Nicht mal DNS braucht man wegen netbios oder der Nachbarankündigung (IPV6) frag mich nicht wie es genau heißt.
Aber die Domain für 3 Hansel ist sinnlos und wenn man nicht genügend Kenntnisse hat auch noch gefährlich.
mfg lenny
Sorry auf sowas mag ich garnicht antworten solche Leute senken unseren Gehaltsspiegel und nehmen den Anfänger Admins die Arbeitsplätze weg....aber zu geil!! 
P.s. mit dem "Arbeitsplätze wegnehmen meinte ich den Oberadmin" nicht seine Schergen ......Sachen gibs wie lustig *fg* so Feierabend
Ps.. Für 3 Leute braucht ihr keine Domain sondern ein NAS .....dau`sssssssssssssss
P.s. mit dem "Arbeitsplätze wegnehmen meinte ich den Oberadmin"
nicht seine Schergen ......Sachen gibs wie lustig *fg* so FeierabendPs.. Für 3 Leute braucht ihr keine Domain sondern ein NAS .....dau`sssssssssssssss
Hallo,
Um auf deinen PC's Lokal Software zu installieren müssen die (angemeldeten Domänenbenutzer) Benutzer auch das entsprechende Lokale Recht haben. Du kannst in der Lokalen (Auf jedem PC) Gruppe der Administratoren den Domänenbenutzer eingtragen oder die Gruppe der Domänenbenutzer. Natürlich haben dann deine Benuzter auf den Lokalen Maschinen alle Rechte inkl. Viren Installaition etc. (Im SBS Umfeld wird es als Standard seitens MS so gemacht das der Domänenbenutzer in der Lokalen Gruppe der Admistratoren aufgenommen wird
).
Ob jetzt eine Domäne bei 3 Mitarbeitern berechtigt ist oder ob ein NAS reicht? Nun es gibt ja auch die SBS mit nur 5 Benutzer im Einsatz, und davon nicht wenige...
Gruß,
Peter
Zitat von @Christoph4306:
dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte nehme die (Domänen) Benutzer aus den Domänen Admins wieder raus. Da haben die wirklich nichts zu suchen.dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Um auf deinen PC's Lokal Software zu installieren müssen die (angemeldeten Domänenbenutzer) Benutzer auch das entsprechende Lokale Recht haben. Du kannst in der Lokalen (Auf jedem PC) Gruppe der Administratoren den Domänenbenutzer eingtragen oder die Gruppe der Domänenbenutzer. Natürlich haben dann deine Benuzter auf den Lokalen Maschinen alle Rechte inkl. Viren Installaition etc. (Im SBS Umfeld wird es als Standard seitens MS so gemacht das der Domänenbenutzer in der Lokalen Gruppe der Admistratoren aufgenommen wird
).Ob jetzt eine Domäne bei 3 Mitarbeitern berechtigt ist oder ob ein NAS reicht? Nun es gibt ja auch die SBS mit nur 5 Benutzer im Einsatz, und davon nicht wenige...
Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
> Zitat von @Christoph4306:
> dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte nehme die (Domänen) Benutzer aus den Domänen Admins wieder raus. Da haben die wirklich nichts zu suchen.
Um auf deinen PC's Lokal Software zu installieren müssen die (angemeldeten Domänenbenutzer) Benutzer auch das
entsprechende Lokale Recht haben. Du kannst in der Lokalen (Auf jedem PC) Gruppe der Administratoren den
Domänenbenutzer eingtragen oder die Gruppe der Domänenbenutzer. Natürlich haben dann deine Benuzter auf den
Lokalen Maschinen alle Rechte inkl. Viren Installaition etc. (Im SBS Umfeld wird es als Standard seitens MS so gemacht das der
Domänenbenutzer in der Lokalen Gruppe der Admistratoren aufgenommen wird).
Ob jetzt eine Domäne bei 3 Mitarbeitern berechtigt ist oder ob ein NAS reicht? Nun es gibt ja auch die SBS mit nur 5 Benutzer
im Einsatz, und davon nicht wenige...
Hallo,
> Zitat von @Christoph4306:
> dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte nehme die (Domänen) Benutzer aus den Domänen Admins wieder raus. Da haben die wirklich nichts zu suchen.
Um auf deinen PC's Lokal Software zu installieren müssen die (angemeldeten Domänenbenutzer) Benutzer auch das
entsprechende Lokale Recht haben. Du kannst in der Lokalen (Auf jedem PC) Gruppe der Administratoren den
Domänenbenutzer eingtragen oder die Gruppe der Domänenbenutzer. Natürlich haben dann deine Benuzter auf den
Lokalen Maschinen alle Rechte inkl. Viren Installaition etc. (Im SBS Umfeld wird es als Standard seitens MS so gemacht das der
Domänenbenutzer in der Lokalen Gruppe der Admistratoren aufgenommen wird
).Ob jetzt eine Domäne bei 3 Mitarbeitern berechtigt ist oder ob ein NAS reicht? Nun es gibt ja auch die SBS mit nur 5 Benutzer
im Einsatz, und davon nicht wenige...
1. Den Domain admin werde ich wieder entfernen, war nur ein versuch, da mir gesagt worden ist, dass es so funktionieren soll, was es ja nicht tut.
Weiters brauchen wir nicht darüber sprechen das dies eine Sicherheitslücke ist.
2. Auf einen NAS umsteigen geht nicht, da ich einen Server fürs Telebanking, Mailserver(Exchange) sowie für unser Ausschreibeprogramm benötigen.
3. Danke für den Tipp, mit den eintragen!
Wie du erwähnt hast ist das natürlich keine Optimale Lösung aber es sind Firmen PC´s und keiner installiert hier Programme die nicht da daruf gehören, somit kann man meiner meinung nach auf diese Beschränkungen verzichten.
Oder kann man es sö lösen, wenn man ein Programm instalieren will, dass die Aufforderung zur eingabe des Admin Passwortes kommt?
Auf jeden Fall schon mal vielen Dank für eure hilfe!
PS: @ askando: Ich will keinen Admin den Arbeoitsplatz wegnehmen
Hallo,
P.S. Eine gutes Aniviren Programm auf den Server und Clients sowie ein Antivirus für den Exchange ist natürlich Pflicht. Z.B. Sophos Small Business.
Gruß,
Peter
Zitat von @Christoph4306:
2. Auf einen NAS umsteigen geht nicht, da ich einen Server fürs Telebanking, Mailserver(Exchange) sowie für unser
Ausschreibeprogramm benötigen.
Da wäre ein SBS 2003 deutlich preiswerter als ein Server 2003 mit zusätzlichem Exchange 2003 gewesen. Und durch einbinden deiner Clients im SBS Netzwerk mittels http://servername/connectcomputer hättest du das problem mit der Software Installation auf den PC's nicht, da hierbei der (die) ausgewählte Domänenbenutzer in der Lokalen Gruppe der Administratoren eingefügt werden. Oder hast du ein SBS 2003?2. Auf einen NAS umsteigen geht nicht, da ich einen Server fürs Telebanking, Mailserver(Exchange) sowie für unser
Ausschreibeprogramm benötigen.
hier Programme die nicht da daruf gehören, somit kann man meiner meinung nach auf diese Beschränkungen verzichten.
Nun ja, Viren usw ist dadurch natürlich auch Tür und Tor geöffnet da der Benutzer ja mit Lokalen Administratorrechten unterwegs ist und gerade im Internet wird die Gefahr oft unterschätzt.Oder kann man es sö lösen, wenn man ein Programm instalieren will, dass die Aufforderung zur eingabe des Admin Passwortes kommt?
Ja, das geht auch. Den Domänenbenutzer in der Lokalen Gruppe der Benutzer belassen. Bei der installation von Software dieses starten mit der rechten Taste auf die Datei und "Ausführen als...". Dann einen Benutzer wählen und Passwort eingeben der entsprechende Rechte hat.P.S. Eine gutes Aniviren Programm auf den Server und Clients sowie ein Antivirus für den Exchange ist natürlich Pflicht. Z.B. Sophos Small Business.
Gruß,
Peter
Hallo Peter!
Danke nochmals!
Also wir haben einen Windows Server 2003 Standard R2. Das ganze läuft schon jahrelang so, noch vor meiner Zeit. Unser momentanes Problem ist nur das, dass wir derzeit einen neuen Systemadmin brauchen da, unser bisheriger EDV Mensch aus beruflichen Gründen keine Zeit mehr hat. Bis wir jetzt jemand neuen gefunden haben der uns in dieser Angelegenheit unterstützt. Ist ja auch eine kleine Vertrauensgeschichte.
Thema Virenschutz:
Am Server ist derzeit noch der Norten Aktiv, an den einzelnen Rechnern haben wir den AVG drauf.
PS: Das mit dem "Ausführen als..." funktioniert so und werd ich auch so belassen.
Vielen Dank nochmals!
LG
Christoph
Danke nochmals!
Also wir haben einen Windows Server 2003 Standard R2. Das ganze läuft schon jahrelang so, noch vor meiner Zeit. Unser momentanes Problem ist nur das, dass wir derzeit einen neuen Systemadmin brauchen da, unser bisheriger EDV Mensch aus beruflichen Gründen keine Zeit mehr hat. Bis wir jetzt jemand neuen gefunden haben der uns in dieser Angelegenheit unterstützt. Ist ja auch eine kleine Vertrauensgeschichte.
Thema Virenschutz:
Am Server ist derzeit noch der Norten Aktiv, an den einzelnen Rechnern haben wir den AVG drauf.
PS: Das mit dem "Ausführen als..." funktioniert so und werd ich auch so belassen.
Vielen Dank nochmals!
LG
Christoph
EDITED:
Also ich möchte das Thema doch nochmal aufgreifen,
UserAcc: A.Bmann
DC: Win2K8 Enterprise 64Bit
Client: Windows XP Professional 32Bit
A.Bmann darf Software eigenständig installieren, deinstallieren und darf lokaler Admin sein. (Fiktives Szenario ohne Änderung der Defaul Domain Policy, ohne Einsatz weiterer Gruppenrichtlinien)
Logge ich mich nun über den Domänen-Admin lokal am Client ein und füge der lokalen Gruppe Administratoren die Gruppe Domänen-Benutzer hinzu, bekomme ich nach erneutem Domain-Login mit dem User A.Bmann bei einer Softwareinstallation keine Fehlermeldung.
Also: Der Domänen User erhält durch diese Prozedur lokale Adminrechte.
P.S.: Nein, meine User sind und werden keine Domain-Admins! ;)
Also ich möchte das Thema doch nochmal aufgreifen,
UserAcc: A.Bmann
DC: Win2K8 Enterprise 64Bit
Client: Windows XP Professional 32Bit
A.Bmann darf Software eigenständig installieren, deinstallieren und darf lokaler Admin sein. (Fiktives Szenario ohne Änderung der Defaul Domain Policy, ohne Einsatz weiterer Gruppenrichtlinien)
Logge ich mich nun über den Domänen-Admin lokal am Client ein und füge der lokalen Gruppe Administratoren die Gruppe Domänen-Benutzer hinzu, bekomme ich nach erneutem Domain-Login mit dem User A.Bmann bei einer Softwareinstallation keine Fehlermeldung.
Also: Der Domänen User erhält durch diese Prozedur lokale Adminrechte.
P.S.: Nein, meine User sind und werden keine Domain-Admins! ;)
