43
Domainbenutzer als lokalen Admin einrichten
Ich möchte einen Domain-Benutzer oder eineDomain-Gruppe anlegen, welche bei der Anmeldung an die Domain lokale Adminrechte erhält. Also Formartieren und Installieren. Ich suche in den Einstellungen der Active Directory nach einer solchen Option, finde aber nichts. Wo und Wie stelle ich das ein?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 47916
Url: https://administrator.de/contentid/47916
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
43 Kommentare
Neuester Kommentar
Hallo,
wenn du einen Benutzer im Active Directory in die Gruppe "Administratoren" bzw. "Domain-Admins" hinzugefügt hast, dann hat dieser Benutzer auch auf allen lokalen Rechnern (in der Domain) Adminrechte und du kannst dann auch kopieren, installieren etc.
wenn du einen Benutzer im Active Directory in die Gruppe "Administratoren" bzw. "Domain-Admins" hinzugefügt hast, dann hat dieser Benutzer auch auf allen lokalen Rechnern (in der Domain) Adminrechte und du kannst dann auch kopieren, installieren etc.
Er hat dann aber auch Rechte als Domainadmin und könnte mit dieser Kennung Änderungen an der Domain vornehmen, wenn er in der Gruppe ist.
Außerdem hat der User die Rechte dann an jedem PC in der Domäne.
Wenn der OP einem User tatsächlich lokale Adminrechte geben will/muss, dann würde ich den User einfach an der lokalen Maschine in die Grupe der Administratoren aufnehmen. Das geht auch vom Adminplatz aus ohne, dass man aufstehen muss (mmc)
Manuel
Wenn der OP einem User tatsächlich lokale Adminrechte geben will/muss, dann würde ich den User einfach an der lokalen Maschine in die Grupe der Administratoren aufnehmen. Das geht auch vom Adminplatz aus ohne, dass man aufstehen muss (mmc)
Manuel
Und wie kann ich den Benutzer per Remote als lokalen Admin definieren?
Und wie kann ich den Benutzer per Remote als lokalen Admin definieren?
Es muss doch möglich sein, einen Benutzer oder Gruppe explizit Rechte am PC, an den er sich anmeldet, zu erteilen. Aber das am Domaincontroller definieren. Nicht lokal an den Rechner gehen und jedesmal das Konto einpflegen.
2 möglichkeiten:
1. computerverwaltung öffnen, mit dem entsprechenden computer verbinden, und dort in der lokalen benutzergruppe "Administratoren" den domänenbenutzer hinzufügen.
2. über eine gruppenrichtlinie.
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...
grüsse
Kosh
1. computerverwaltung öffnen, mit dem entsprechenden computer verbinden, und dort in der lokalen benutzergruppe "Administratoren" den domänenbenutzer hinzufügen.
2. über eine gruppenrichtlinie.
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...
grüsse
Kosh
@ manuel-r
Aber so war es anscheinend gemeint. Bei der Anmeldung an die Domain soll er lokale Adminrechte bekommen. -> auf jedem Rechner in der Domain.
Ich möchte einen Domain-Benutzer oder
eineDomain-Gruppe anlegen, welche bei der
Anmeldung an die Domain lokale Adminrechte
erhält.
eineDomain-Gruppe anlegen, welche bei der
Anmeldung an die Domain lokale Adminrechte
erhält.
Aber so war es anscheinend gemeint. Bei der Anmeldung an die Domain soll er lokale Adminrechte bekommen. -> auf jedem Rechner in der Domain.
Der Link ist gut. Aber wo finde ich den das Fenster, dass dort abgebildet ist? Gruppenrichtlinie?!
active-directory benutzer und computer -> rechte maustaste auf eine organisationseinheit -> eigenschaften ->gruppenrichtlinien -> neu
Du öffnest "Active Directory Benutzer und Computer" klickst auf den gewünschten Domaincontroller mit der Rechten Maustaste und öffnest "Eigenschaften". Im Register wählst du "Gruppenrichtlinien". Da kannst du entweder selbst eine anelgen oder die Allgemeine Richtlinie bearbeiten.
Hab ich nicht!
Habe Windows2000 Server bei active-directory benutzer und computer -> rechte mousetaste auf meine Gruppe -> eigenschaften ... da steht nur Allgemein, Mitglieder, Mitglied von, Verwaltet von.
Habe Windows2000 Server bei active-directory benutzer und computer -> rechte mousetaste auf meine Gruppe -> eigenschaften ... da steht nur Allgemein, Mitglieder, Mitglied von, Verwaltet von.
erst lesen, dann meckern.
active-directory benutzer und computer -> rechte maustaste auf eine organisationseinheit -> eigenschaften ->gruppenrichtlinien -> neu
betonung auf eine "ORGANISATIONSEINHEIT"
das sind die ordner mit dem komischen symbol drinnen.
gruppenrichtlinien lassen sich nur auf domänen-ebene (rechte maustaste auf den domänenstamm -> eigenschaften) oder auf OU (= organisationseinheit) Ebene erstellen.
am besten wäre du kämpfst dich mal durch www.gruppenrichtlinien.de durch. da sind alle infos zu dem thema drin.
active-directory benutzer und computer -> rechte maustaste auf eine organisationseinheit -> eigenschaften ->gruppenrichtlinien -> neu
betonung auf eine "ORGANISATIONSEINHEIT"
das sind die ordner mit dem komischen symbol drinnen.
gruppenrichtlinien lassen sich nur auf domänen-ebene (rechte maustaste auf den domänenstamm -> eigenschaften) oder auf OU (= organisationseinheit) Ebene erstellen.
am besten wäre du kämpfst dich mal durch www.gruppenrichtlinien.de durch. da sind alle infos zu dem thema drin.
Soryy, habs gefunden. Ich habe nun einne Benutzer in einer Gruppe Co-Admins eingefügt und diese Gruppe zu den Eingeschränkte Gruppe hinzugefügt. Dennoch kann ich nach dem Anmelden, keine Installation durchführen. Auch kein Schreiben auf die Festplatte ist möglich.
ok.
bitte lies dir
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
GENAU durch, und folge den anleitungen dort.
deinem post entnehme ich dass du das nicht getan hast.
machs so wies dort steht, und es funktioniert auch.
bitte lies dir
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
GENAU durch, und folge den anleitungen dort.
deinem post entnehme ich dass du das nicht getan hast.
machs so wies dort steht, und es funktioniert auch.
Das habe ich. Meine Gruppe mit den Mitgliedern ist in der Eingeschränkten Gruppe. Fertig! Alles andere beschriebt das Rückgängig machen.
Spielt es eine Rolle, wo ich die Mitgliedschaft des Benutzer definiere? Entweder in der Maske der Eingeschränkten Gruppe oder bei den Gruppen unter Builtin?
Die Gruppe Co-Admin ist vom Typ Sicherheitsgruppe - Global. Nimmt das Einfluss?
Die Gruppe Co-Admin ist vom Typ Sicherheitsgruppe - Global. Nimmt das Einfluss?
ich zitiere:
"Die Gruppe Hauptbenutzer muss per Hand hinzufügt werden (manuell eintippen), da diese nicht über die „Durchsuchen Funktion“ gefunden werden kann. Allerdings ist das System so schlau trotz der unbekannten Gruppe keinen userenv -1000 Fehler zu generieren, da die Gruppe Hauptbenutzer und dessen SID (S-1-5-32-547) zu den sogenannten Well-know SID´s gehört und vom System als solche (bei richtiger schreibweise J) auch erkannt wird.
Eine Übersicht der der dem System bekannten und automatisch vergebenen SID gibt es am Ende des Textes, oder hier:"
man ersetze das wort: "Hauptbenutzer" durch "Administratoren" und füge die benutzergruppe die lokale adminrechte haben soll ins obige feld ein.
ACHTUNG: zusätzlich musst du oben noch "Domänen-Admins" und "Administrator" einfügen da du dir sonst die rechte wegnimmst.
"Die Gruppe Hauptbenutzer muss per Hand hinzufügt werden (manuell eintippen), da diese nicht über die „Durchsuchen Funktion“ gefunden werden kann. Allerdings ist das System so schlau trotz der unbekannten Gruppe keinen userenv -1000 Fehler zu generieren, da die Gruppe Hauptbenutzer und dessen SID (S-1-5-32-547) zu den sogenannten Well-know SID´s gehört und vom System als solche (bei richtiger schreibweise J) auch erkannt wird.
Eine Übersicht der der dem System bekannten und automatisch vergebenen SID gibt es am Ende des Textes, oder hier:"
man ersetze das wort: "Hauptbenutzer" durch "Administratoren" und füge die benutzergruppe die lokale adminrechte haben soll ins obige feld ein.
ACHTUNG: zusätzlich musst du oben noch "Domänen-Admins" und "Administrator" einfügen da du dir sonst die rechte wegnimmst.
Wo und wie? Bei den Eingeschränkten Gruppen? Das ergibt doch keinen Sinn! Wenn die Gruppe der Administratoren in den Eingschränkten Gruppen drin ist, so nimmt das doch keinen Einfluss darauf, dass die Gruppe der Co-Admins auch drin ist und damit auch keinen Einfluss auf die Zugriffsrechte der Mitglieder, die in der Gruppe der Co-Admins enthalten sind.
vertrau mir einfach.
erstelle unter "eingeschränkte gruppen" eine gruppe mit dem namen "Administratoren" und füge dort folgende Mitglieder hinzu:
1. Administrator
2. Domänen-Admins
3. Die Gruppe die du im Active Directory erstellt hast (mit den Usern die lokale Adminrechte haben sollen)
erstelle unter "eingeschränkte gruppen" eine gruppe mit dem namen "Administratoren" und füge dort folgende Mitglieder hinzu:
1. Administrator
2. Domänen-Admins
3. Die Gruppe die du im Active Directory erstellt hast (mit den Usern die lokale Adminrechte haben sollen)
Ich kann aber keine Gruppe manuell anlegen, sondern nur per rechte Maustaste Gruppe hinzufügen und dann Administratoren wählen. Wie ich manuell eine einfüge weis ich nicht.
Ich habs gemacht und kein Erfolg. Ich habe jetzt 2 Gruppen in den eingeschränkten Gruppen. Einmal meine Gruppe Co-Admin und einmal meine Gruppe Administratoren. In den Co-Admin ist mein User drin und in der Gruppe Administratoren sind der Benutzer Administrator, die Gruppe Domain-Admins und meine Gruppe Co-Admin drin. Melde ich mich nun an die Domain mit meinen User in der Gruppe Co-Admin an, so habe ich keine Schreibrechte auf die Festplatte.
du klickst bei "eingeschränkte gruppen" auf : "Gruppe hinzufügen".
Da kommt dann ein fenster "Gruppe hinzufügen" mit einem textfeld und einem "Durchsuchen"-Button.
Und wenn man in das textfeld "Administratoren" eingibt und dann unten auf OK klickt hat man die gruppe erstellt.
und im folgenden fenster klickt man unter "Mitglieder dieser Gruppe" auf "Hinzufügen" und fügt dann die 3 hinzu.
Noch genauer kann mans jetzt nicht mehr erklären denk ich.
Ich könnt noch screenshots machen aber das geht dann meiner meinung nach zu weit.
Da kommt dann ein fenster "Gruppe hinzufügen" mit einem textfeld und einem "Durchsuchen"-Button.
Und wenn man in das textfeld "Administratoren" eingibt und dann unten auf OK klickt hat man die gruppe erstellt.
und im folgenden fenster klickt man unter "Mitglieder dieser Gruppe" auf "Hinzufügen" und fügt dann die 3 hinzu.
Noch genauer kann mans jetzt nicht mehr erklären denk ich.
Ich könnt noch screenshots machen aber das geht dann meiner meinung nach zu weit.
Ich danke Dir, dass Du so viel Gedult hast. Ich schwöre Dir, dass ich das schon vor vielen Posts probiert habe und dennoch nicht mit angemeldeten Co-Admin User keine Schreibrechte habe.
ich hoffe doch du hast die co-admin gruppe mit "meinedomäne\co-admins" zu den eingeschränkten gruppen hinzugefügt oder?
ansonsten guck mal lokal auf dem pc dens betrifft in die lokale benutzerverwaltung.
doppelklick auf "Administratoren" und da sollte dann die gruppe "co-admins" drinnenstehen.
falls nicht, hat der pc die gruppenrichtlinie nicht verabreicht bekommen.
ansonsten guck mal lokal auf dem pc dens betrifft in die lokale benutzerverwaltung.
doppelklick auf "Administratoren" und da sollte dann die gruppe "co-admins" drinnenstehen.
falls nicht, hat der pc die gruppenrichtlinie nicht verabreicht bekommen.
ich hoffe doch du hast die co-admin gruppe
mit "meinedomäne\co-admins" zu
den eingeschränkten gruppen
hinzugefügt oder?
Nicht manuell, aber beim Durchsuchen und hinzufügen macht er es automatisch. Zumindest steht es auch so da DOMAIN/Co-Adminmit "meinedomäne\co-admins" zu
den eingeschränkten gruppen
hinzugefügt oder?
ansonsten guck mal lokal auf dem pc dens
betrifft in die lokale benutzerverwaltung.
doppelklick auf "Administratoren"
und da sollte dann die gruppe
"co-admins" drinnenstehen.
falls nicht, hat der pc die
gruppenrichtlinie nicht verabreicht bekommen.
betrifft in die lokale benutzerverwaltung.
doppelklick auf "Administratoren"
und da sollte dann die gruppe
"co-admins" drinnenstehen.
falls nicht, hat der pc die
gruppenrichtlinie nicht verabreicht bekommen.
Offensichtlich wurden die Gruppenrichtlinien nicht übernommen. Weder bei angemeldeten Co-Admin User noch bei Administrator, steht in der Verwaltung -> Gruppen -> Administratoren meine Co-Admin Gruppe drin.
wo hast du die gruppenrichtlinie definiert?
in einer organisationseinheit?
beachte dass der computer (nicht der benutzer) für den diese richtlinie gelten soll in der organisationseinheit drin sein muss.
in einer organisationseinheit?
beachte dass der computer (nicht der benutzer) für den diese richtlinie gelten soll in der organisationseinheit drin sein muss.
Der Computer IST Mitglieder Domain.
nochmal:
WO hast du die gruppenrichtlinie definiert?
mir is schon klar das der pc mitglied der domain ist.
wenn du nun aber zB eine organisationseinheit "Meine Computer" hast, und die gruppenrichtlinie dort erstellt hast, dann muss der pc in diesem ordner drin sein.
WO hast du die gruppenrichtlinie definiert?
mir is schon klar das der pc mitglied der domain ist.
wenn du nun aber zB eine organisationseinheit "Meine Computer" hast, und die gruppenrichtlinie dort erstellt hast, dann muss der pc in diesem ordner drin sein.
- Organisationseinheit = Active Directory-Benutzer und -Computer? 1.Knotenpunkt, trägt Domainnamen
- Unterknoten dieses Root-Knoten Builtin(Gruppen), Computers(Clients der Domain), Domain Controllers, ForeignSecurityPrincipaly, Users
- Rechte Maustaste auf Root-Knoten der genannten Unterknoten
- folgende Tabs stehen zu wahl: Allgemein, Verwaltet von und Gruppenrichtlinie
- Aktuelle Gruppenrichtlinie "Default Domain Policy"
- Klick auf Bearbeiten
- Wie oben beschrieben vorgegangen
- Unterknoten dieses Root-Knoten Builtin(Gruppen), Computers(Clients der Domain), Domain Controllers, ForeignSecurityPrincipaly, Users
- Rechte Maustaste auf Root-Knoten der genannten Unterknoten
- folgende Tabs stehen zu wahl: Allgemein, Verwaltet von und Gruppenrichtlinie
- Aktuelle Gruppenrichtlinie "Default Domain Policy"
- Klick auf Bearbeiten
- Wie oben beschrieben vorgegangen
ok.
machen wirs gleich richtig:
klicke mit der rechten maustaste auf den domänennamen -> neu -> organisationseinheit
diese taufst du zB "MeineComputer"
dann gehst du in den ordner "Computers", pickst dir den pc raus wo das gehen soll und ziehst den in die organisationseinheit "MeineComputer".
bearbeite die "default domain policy" und mache dort die "eingeschränkte gruppen"-einstellung wieder weg.
nun klicke rechts auf die OU "MeineComputer" und auf eigenschaften.
dann auf "gruppenrichtlinien" und dort auf "Neu".
Diese taufst du dann zB "SetCoAdmins".
in dieser richtlinie nimmst du die einstellungen für die eingeschränkten gruppen vor.
danach wartest du ein paar minuten und startest den client neu.
dann schau nochmal ob die änderungen jetzt wirksam sind.
machen wirs gleich richtig:
klicke mit der rechten maustaste auf den domänennamen -> neu -> organisationseinheit
diese taufst du zB "MeineComputer"
dann gehst du in den ordner "Computers", pickst dir den pc raus wo das gehen soll und ziehst den in die organisationseinheit "MeineComputer".
bearbeite die "default domain policy" und mache dort die "eingeschränkte gruppen"-einstellung wieder weg.
nun klicke rechts auf die OU "MeineComputer" und auf eigenschaften.
dann auf "gruppenrichtlinien" und dort auf "Neu".
Diese taufst du dann zB "SetCoAdmins".
in dieser richtlinie nimmst du die einstellungen für die eingeschränkten gruppen vor.
danach wartest du ein paar minuten und startest den client neu.
dann schau nochmal ob die änderungen jetzt wirksam sind.
Aha! Wenn ich aber nun diesen Computer von "Computers" in meine neue Organisationseinheit Verschiebe(Drag'n&Drop geht nicht) ist er dann noch Mitglied der Domain? Nimmt das noch irgendwelchen anderen Einfluss?
ja er ist noch immer mitglied der domain.
nein das nimmt keinen einfluss.
nein das nimmt keinen einfluss.
Unter den Knoten Domainnamen befindet sich nun neben Users, Computers,... auch die Organisationseinheit "XY". In dieser Einheit enthalten: mein Testrechner(Mitglied der Domain).
Rechte Maustaste bei XY -> Eigenschaften -> Gruppenrichtlinie -> Hinzufügen/Bearbeiten
2 Eingeschränkte Gruppen hinzugefügt!
1.Domain/Co-Admin(Mitglied:Test)
2.Administratoren(Mitglied:Administrator, Domain-Admins, Co-Admin)
Keine Veränderung! Ich habe keine lokalen Adminrechte und in den Gruppen steht auch kein Co-Admin drin.
Rechte Maustaste bei XY -> Eigenschaften -> Gruppenrichtlinie -> Hinzufügen/Bearbeiten
2 Eingeschränkte Gruppen hinzugefügt!
1.Domain/Co-Admin(Mitglied:Test)
2.Administratoren(Mitglied:Administrator, Domain-Admins, Co-Admin)
Keine Veränderung! Ich habe keine lokalen Adminrechte und in den Gruppen steht auch kein Co-Admin drin.
und nun geh mal zum client, mach eine konsole auf und führe "gpresult" aus.
dann kommt eine ganze liste von daten.
dort stehen die andewendeten gruppenrichtlinien.
schau ob die richtlinie die du erstellt hast dabei ist.
dann kommt eine ganze liste von daten.
dort stehen die andewendeten gruppenrichtlinien.
schau ob die richtlinie die du erstellt hast dabei ist.
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 04.01.2007, um 14:58:30 erstellt
RSOP-Daten fr NESTRO\test auf DC02: Protokollmodus
Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition
Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion: 5.2.3790
Terminalservermodus: Remoteverwaltung
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:\\as01\profile$\dprofile\test
Lokales Profil: C:\Dokumente und Einstellungen\test
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
CN=test test,OU=XY,DC=DOMAIN
Letzte Gruppenrichtlinienanwendung: 04.01.2007, um 14:55:09
Gruppenrichtlinieanwendung von: dc-test.DOMAIN
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: DOMAIN
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Co-Admin
Filterung: Nicht angewendet (Leer)
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domainen-Benutzer
Jeder
Benutzer
INTERAKTIV
Authentifizierte Benutzer
Diese Organisation
LOKAL
Co-Admins
1. Default Domain Policy ist die Gruppenrichtlinie des Rootknoten, also der Domain. Nicht der Organisationseinheit "XY".
2. Er hat den Client, als Server erkannt. Spielt das eine Rolle?
Copyright (C) Microsoft Corp. 1981-2001
Am 04.01.2007, um 14:58:30 erstellt
RSOP-Daten fr NESTRO\test auf DC02: Protokollmodus
Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition
Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion: 5.2.3790
Terminalservermodus: Remoteverwaltung
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:\\as01\profile$\dprofile\test
Lokales Profil: C:\Dokumente und Einstellungen\test
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
CN=test test,OU=XY,DC=DOMAIN
Letzte Gruppenrichtlinienanwendung: 04.01.2007, um 14:55:09
Gruppenrichtlinieanwendung von: dc-test.DOMAIN
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: DOMAIN
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Co-Admin
Filterung: Nicht angewendet (Leer)
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domainen-Benutzer
Jeder
Benutzer
INTERAKTIV
Authentifizierte Benutzer
Diese Organisation
LOKAL
Co-Admins
1. Default Domain Policy ist die Gruppenrichtlinie des Rootknoten, also der Domain. Nicht der Organisationseinheit "XY".
2. Er hat den Client, als Server erkannt. Spielt das eine Rolle?
ich vergass zu erwähnen dass du dich als domänen-admin einloggen solltest um alle infos von gpresult zu kriegen.
am besten du meldest dich als domänen-admin an und führst:
gpresult /SCOPE COMPUTER
aus.
am besten du meldest dich als domänen-admin an und führst:
gpresult /SCOPE COMPUTER
aus.
Hier das Ergebnis. Merkwürdig ist, dass er die falsche Gruppenrichtlinie läd. Die geladene Gruppenrichtlinie hatte ich habe auch schon mit den Eingeschränkten Gruppen versehen.
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 04.01.2007, um 15:18:57 erstellt
RSOP-Daten fr DOMAIN\administrator auf DC02: Protokollmodus
Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition
Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion: 5.2.3790
Terminalservermodus: Remoteverwaltung
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\administrator.DOMAIN
Langsame Verbindung? Nein
COMPUTEREINSTELLUNGEN
CN=DC02,OU=XY,DC=DOMAIN
Letzte Gruppenrichtlinienanwendung: 04.01.2007, um 13:53:35
Gruppenrichtlinieanwendung von: dc-test.DOMAIN
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: DOMAIN
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Computer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Administratoren
Jeder
IIS_WPG
ora_dba
Benutzer
NETZWERK
Authentifizierte Benutzer
Diese Organisation
DC02$
Dom„nencomputer
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 04.01.2007, um 15:18:57 erstellt
RSOP-Daten fr DOMAIN\administrator auf DC02: Protokollmodus
Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition
Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion: 5.2.3790
Terminalservermodus: Remoteverwaltung
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\administrator.DOMAIN
Langsame Verbindung? Nein
COMPUTEREINSTELLUNGEN
CN=DC02,OU=XY,DC=DOMAIN
Letzte Gruppenrichtlinienanwendung: 04.01.2007, um 13:53:35
Gruppenrichtlinieanwendung von: dc-test.DOMAIN
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: DOMAIN
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Computer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Administratoren
Jeder
IIS_WPG
ora_dba
Benutzer
NETZWERK
Authentifizierte Benutzer
Diese Organisation
DC02$
Dom„nencomputer
Eigentlich ist das gaaaaaaanz einfach:
Hier die Lösung für Windows XP
Vorraussetzung Sever mit ADS
Der Rechner, auf dem sich der User Anmelden soll und Adminrechte nur LOCAL haben soll ist in die Domäne eingebunden
Das Anmeldekonto existiert bereits auf dem Server.
- Starte den Rechner
- Bei der Anmeldung meldest Du Dich als Administrator LOCAL an NICHT an der Domäne
- Gehe in die Systemsteuerung
- Öffne die Benutzerkonten
- Warte bis alle Konten angezeigt werden, das kann was dauern da auch die Konten vom Server geladen werden.
- Klicke auf Hinzufügen
- Gebe den Benutzernamen und Domäne an
- Vergebe die gewünschten Rechte
- Klicke auf Fertigstellen.
Bei der nächsten Anmeldung hat der Benutzer lokale z.B. Administartionsrechte und zwar nur Lokal an der
angemeldeten Workstation.
Das Ganze geht auch mit Gruppen.
Hier die Lösung für Windows XP
Vorraussetzung Sever mit ADS
Der Rechner, auf dem sich der User Anmelden soll und Adminrechte nur LOCAL haben soll ist in die Domäne eingebunden
Das Anmeldekonto existiert bereits auf dem Server.
- Starte den Rechner
- Bei der Anmeldung meldest Du Dich als Administrator LOCAL an NICHT an der Domäne
- Gehe in die Systemsteuerung
- Öffne die Benutzerkonten
- Warte bis alle Konten angezeigt werden, das kann was dauern da auch die Konten vom Server geladen werden.
- Klicke auf Hinzufügen
- Gebe den Benutzernamen und Domäne an
- Vergebe die gewünschten Rechte
- Klicke auf Fertigstellen.
Bei der nächsten Anmeldung hat der Benutzer lokale z.B. Administartionsrechte und zwar nur Lokal an der
angemeldeten Workstation.
Das Ganze geht auch mit Gruppen.
Eigentlich ist das gaaaaaaanz einfach:
Hier die Lösung für Windows XP
Vorraussetzung Sever mit ADS
Der Rechner, auf dem sich der User Anmelden
soll und Adminrechte nur LOCAL haben soll ist
in die Domäne eingebunden
Das Anmeldekonto existiert bereits auf dem
Server.
- Starte den Rechner
- Bei der Anmeldung meldest Du Dich als
Administrator LOCAL an NICHT an der
Domäne
- Gehe in die Systemsteuerung
- Öffne die Benutzerkonten
- Warte bis alle Konten angezeigt werden,
das kann was dauern da auch die Konten vom
Server geladen werden.
- Klicke auf Hinzufügen
- Gebe den Benutzernamen und Domäne an
- Vergebe die gewünschten Rechte
- Klicke auf Fertigstellen.
Bei der nächsten Anmeldung hat der
Benutzer lokale z.B. Administartionsrechte
und zwar nur Lokal an der
angemeldeten Workstation.
Das Ganze geht auch mit Gruppen.
Hier die Lösung für Windows XP
Vorraussetzung Sever mit ADS
Der Rechner, auf dem sich der User Anmelden
soll und Adminrechte nur LOCAL haben soll ist
in die Domäne eingebunden
Das Anmeldekonto existiert bereits auf dem
Server.
- Starte den Rechner
- Bei der Anmeldung meldest Du Dich als
Administrator LOCAL an NICHT an der
Domäne
- Gehe in die Systemsteuerung
- Öffne die Benutzerkonten
- Warte bis alle Konten angezeigt werden,
das kann was dauern da auch die Konten vom
Server geladen werden.
- Klicke auf Hinzufügen
- Gebe den Benutzernamen und Domäne an
- Vergebe die gewünschten Rechte
- Klicke auf Fertigstellen.
Bei der nächsten Anmeldung hat der
Benutzer lokale z.B. Administartionsrechte
und zwar nur Lokal an der
angemeldeten Workstation.
Das Ganze geht auch mit Gruppen.
Zum einem bin ich jeder Antwort dankbar, zum anderen bin ich enttäuscht, weil ich vermute, dass Du nicht vollständig gelesen hast. Dieser Vorschlag kam glaube schon UND, jetzt kommts, bei einem Netzwerk von über 100 Clients, renne ich 1 Woche lang rum. Wenn ich das wolle, würde ich nicht über die Domainkonfiguration gehen.
Ohne rumrennen geht es auch:
Starte die Managementconcolse mit Start > Ausführen > mmc
Danach Snap-in hinzufügen >> Computerverwaltung >> Remotehost (Name des Rechners). Danach kannst du die Computerverwaltung des entfernten Rechners bearbeiten und damit auch bestimmte Benutzer zu den lokalen Administratoren hinzufügen. Voraussetzung dafür ist, dass das Konto mit dem du angemeldet bist administrative Rechte auf dem Remotehost hat.
Manuel
Starte die Managementconcolse mit Start > Ausführen > mmc
Danach Snap-in hinzufügen >> Computerverwaltung >> Remotehost (Name des Rechners). Danach kannst du die Computerverwaltung des entfernten Rechners bearbeiten und damit auch bestimmte Benutzer zu den lokalen Administratoren hinzufügen. Voraussetzung dafür ist, dass das Konto mit dem du angemeldet bist administrative Rechte auf dem Remotehost hat.
Manuel
so..
anhand des geposteten gpresult ergebnisses sehe ich dass der pc die gruppenrichtlinie nicht raufgedrückt bekommt. (der benutzer aber schon?)
gock nochmal in der OU die du erstellt hast ob da auch wirklich der COMPUTER drinnen steht und nicht der BENUTZER.
und dann führe am client folgendes aus:
gpupdate /force
kann doch net sein sowas ; )
dass muss gehen.
anhand des geposteten gpresult ergebnisses sehe ich dass der pc die gruppenrichtlinie nicht raufgedrückt bekommt. (der benutzer aber schon?)
gock nochmal in der OU die du erstellt hast ob da auch wirklich der COMPUTER drinnen steht und nicht der BENUTZER.
und dann führe am client folgendes aus:
gpupdate /force
kann doch net sein sowas ; )
dass muss gehen.
Mag sein, dass ich nicht alles gelesen habe. Steht aber auch viel drin, vor allem auch viel Unsinn.
Aber wenn Du schon so eine Leuchte bis, dann solltest Du vieleicht mehr Informationen in Deine Frage geben. Über 100 Clients sind ne Menge das stimmt. da kann ich dann Manuel zustimmen das ist die Lösung. Ich finde es allerdings (da Du ja entäuscht bist) etwas merkwürdig, dass Du ein Netzwerk mit über 100 Clients betreust und das nicht in den Griff bekommst.
Das geht natürlich auch über die Gruppenrichtlinien. Auch gaaanz einfach. Aber halt vieleicht schreib ich ja noch etwas was schon irgendwo da oben geschrieben steht. Dan kommst Du sicherlich alleine drauf.
Denn alle Lösungen stehen hier im Tread.
Viel Spass noch!
Aber wenn Du schon so eine Leuchte bis, dann solltest Du vieleicht mehr Informationen in Deine Frage geben. Über 100 Clients sind ne Menge das stimmt. da kann ich dann Manuel zustimmen das ist die Lösung. Ich finde es allerdings (da Du ja entäuscht bist) etwas merkwürdig, dass Du ein Netzwerk mit über 100 Clients betreust und das nicht in den Griff bekommst.
Das geht natürlich auch über die Gruppenrichtlinien. Auch gaaanz einfach. Aber halt vieleicht schreib ich ja noch etwas was schon irgendwo da oben geschrieben steht. Dan kommst Du sicherlich alleine drauf.
Denn alle Lösungen stehen hier im Tread.
Viel Spass noch!
