GPO Intsalltion-Freigabe
Hallo alle zusammen,
bin etwas neu auf dem Gebiet der Server-Verwaltung und habe eine allgemeine Frage, welche mir wahrscheinlich die meisten hier beantworten können.
Ich habe eine Domäne eingerichtet, User hinzugefügt, Profilordner erstellt und alles Funktioniert hervorragend.
Meine Frage lautet, wie kann ich einem Benutzer eine Freigabe mit GPO erteillen, damit er selber Programme installieren kann.
Standardmäßig kann der Benutzer, nach einer Anmeldung, keine Programme installieren. Es wird immer nach dem Admin-Passwort gefragt. Da ich keine Lust habe immer hinzurenen und das Passwort einzugeben, wollte ich wissen, wo man dies mittels GPO erteilen kann.
Habe einige Quellen gefunden, doch die AUswahl ist riesig und ich finde keine Konkrete Lösung. Habe einige GPO´s bereits erstellt und mit den Organisationen verknüpft doh leider ohne Erfolg.
Wenn jemand weiterhelfen könnte wäre ich dankbar.
Gruß Niki
bin etwas neu auf dem Gebiet der Server-Verwaltung und habe eine allgemeine Frage, welche mir wahrscheinlich die meisten hier beantworten können.
Ich habe eine Domäne eingerichtet, User hinzugefügt, Profilordner erstellt und alles Funktioniert hervorragend.
Meine Frage lautet, wie kann ich einem Benutzer eine Freigabe mit GPO erteillen, damit er selber Programme installieren kann.
Standardmäßig kann der Benutzer, nach einer Anmeldung, keine Programme installieren. Es wird immer nach dem Admin-Passwort gefragt. Da ich keine Lust habe immer hinzurenen und das Passwort einzugeben, wollte ich wissen, wo man dies mittels GPO erteilen kann.
Habe einige Quellen gefunden, doch die AUswahl ist riesig und ich finde keine Konkrete Lösung. Habe einige GPO´s bereits erstellt und mit den Organisationen verknüpft doh leider ohne Erfolg.
Wenn jemand weiterhelfen könnte wäre ich dankbar.
Gruß Niki
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174259
Url: https://administrator.de/forum/gpo-intsalltion-freigabe-174259.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
12 Kommentare
Neuester Kommentar
Moin
Du kannst einem Benutzer dafür keine Freigabe erteilen. Entweder hat der angemeldete Benutzer administrative Rechte oder er hat sie eben nicht. Daran hängt nun einmal das Recht, ob ich Programme installieren kann oder nicht.
Du kannst per GPO unter "Eingeschränkte Gruppen" definieren, wer alles in der lokalen Gruppe der Administratoren ist. Allerdings sehe ich keinen Sinn darin, Benutzern ganz allgemein Adminrechte auf den Computern zu geben. Das würde dann auch für alle Computer in Reichweite der GPO gelten - auf gut deutsch hätten dann alle deine Benutzer auf allen Computern (nicht nur dem eigenen) Adminrechte.
Wenn du das für einen einzelnen Benutzer willst, dann gehe auf den Computer und füge das entsprechende Konto zu den Administratoren hinzu.
Gruß
Hubert
Du kannst einem Benutzer dafür keine Freigabe erteilen. Entweder hat der angemeldete Benutzer administrative Rechte oder er hat sie eben nicht. Daran hängt nun einmal das Recht, ob ich Programme installieren kann oder nicht.
Du kannst per GPO unter "Eingeschränkte Gruppen" definieren, wer alles in der lokalen Gruppe der Administratoren ist. Allerdings sehe ich keinen Sinn darin, Benutzern ganz allgemein Adminrechte auf den Computern zu geben. Das würde dann auch für alle Computer in Reichweite der GPO gelten - auf gut deutsch hätten dann alle deine Benutzer auf allen Computern (nicht nur dem eigenen) Adminrechte.
Wenn du das für einen einzelnen Benutzer willst, dann gehe auf den Computer und füge das entsprechende Konto zu den Administratoren hinzu.
Gruß
Hubert
Moin,
ich machs kurz...
'#1 ganz ganz oben
Das wissen - das man zum verdienten führen des Admintitels braucht - auch
Gruß
ich machs kurz...
'#1 ganz ganz oben
Das wissen - das man zum verdienten führen des Admintitels braucht - auch
Gruß
- das waren 3 Infos
Bei den Usern die eine Installationsberechtigung haben sollten, handelt es sich nur um einen Nutzer.
Bei den Usern == Mehrzahleinen Nutzer <> Mehrzahl
Darf ich dich nochmal kurz zitieren?
bin etwas neu auf dem Gebiet der Server-Verwaltung
- ich nicht und ganz ehrlich diese 3 genannten Tipps sind Goldwert.
Habe jetzt auch einen ganz anderen Weg gefunden wie ich das "umgehen" kann.
1.
2.
3.
4.
1.
2.
3.
4.
Bitte nicht hier mit solchen umgehungstricks hier die Pferde scheu machen
Gruß
Niki
Niki
zurück, schau dir das verlinkte mal in Ruhe an, falls nicht - nimms mir nicht übel, aber lernressistente Möchtegernadmins haben wir leider schon genug.
-1 wenig anspruchsvoll
Hallo,
ich hätte vielleicht etwas präziser sein können, aber mal im Ernst:
Warum haben Deine Domänen-User keine Adminberechtigungen?
--> damit sie nichts kaputt machen können.
Wenn sie sich jetzt lokal als Admin anmelden, ist dein komplettes Sicherheitskonzept hinfällig. Sie können z.B. einfach ihren Domänenuser zu der gruppe der lokalen Admins hinzufügen und dann auch später alles falsch machen.
Ein User kann und darf keine Programme installieren.
Ein Admin ist dafür verantwortlich, die entsprechende Software auf die Rechner zu bekommen. Das geht mit Turnschuhen und Laufen oder mit Softwareverteilungen, wie z.B. GPOs. Das ist in manchen Umgebungen anspruchsvoll und viel Arbeit, aber eben unumgänglich.
Phil
Zitat von @nidgoniki:
@der_phil
Kritisieren, Verzeren, keine Bergündung, keine Lösung = Zeitverschwendung.
@der_phil
Kritisieren, Verzeren, keine Bergündung, keine Lösung = Zeitverschwendung.
ich hätte vielleicht etwas präziser sein können, aber mal im Ernst:
Warum haben Deine Domänen-User keine Adminberechtigungen?
--> damit sie nichts kaputt machen können.
Wenn sie sich jetzt lokal als Admin anmelden, ist dein komplettes Sicherheitskonzept hinfällig. Sie können z.B. einfach ihren Domänenuser zu der gruppe der lokalen Admins hinzufügen und dann auch später alles falsch machen.
Ein User kann und darf keine Programme installieren.
Ein Admin ist dafür verantwortlich, die entsprechende Software auf die Rechner zu bekommen. Das geht mit Turnschuhen und Laufen oder mit Softwareverteilungen, wie z.B. GPOs. Das ist in manchen Umgebungen anspruchsvoll und viel Arbeit, aber eben unumgänglich.
Phil
moinsen,
nun schau dir einfach mal ein paar Beiträge von bestimmten "Kollegen" an...
Obwohl der Typ, der das in dem Tipp genutzte Werkzeug geschrieben hat, ist mitsamt seiner Firma von M$ aufgekauft worden.
Zu Phil:
--> damit sie nichts kaputt machen können.
Ist nur die Halbe Wahrheit - der Job eines Admins ist sich zu informieren, zu dokumentieren und sauber zu handeln.
Nun stell dir einfach mal vor der User installiert sich ein Java oder einen Acrobat - ansich ja nix verwerfliches - da gibts schlimmeres.
Gruß
nun schau dir einfach mal ein paar Beiträge von bestimmten "Kollegen" an...
- Zu Tipp 1&3
- Zu Tipp 2
Obwohl der Typ, der das in dem Tipp genutzte Werkzeug geschrieben hat, ist mitsamt seiner Firma von M$ aufgekauft worden.
Zu Phil:
--> damit sie nichts kaputt machen können.
Ist nur die Halbe Wahrheit - der Job eines Admins ist sich zu informieren, zu dokumentieren und sauber zu handeln.
Nun stell dir einfach mal vor der User installiert sich ein Java oder einen Acrobat - ansich ja nix verwerfliches - da gibts schlimmeres.
- Glaubst du im Ernst, der holt sich Infos, welche Lücken da gefunden werden und besorgt sich ein Update?
- Kennst du die Nummer mit den Abhängigkeiten? Da installierst du hier x und dort braucht es Version Y, die mit Anwendung Z garnicht läuft.
Gruß
Moin.
Noch ein Zusatz: Es wurde ja auf Softwareinstallations-GPOs hingewiesen. Jedoch sollte man auf MSI-Wrapper hinweisen, die machen das Installieren beliebiger Software, welche nicht als MSI-vorliegt, kinderleicht. Ein bekannter Wrapper (neben 50 Cent) ist WIWW. Bei Interesse bitte melden, wenn Du ihn im Netz nicht mehr findest.
Ziel der Aktion: Über "Software vom Netzwerk installieren" unterhalb von appwiz.cpl kann jeder schwache Benutzer somit beliebige vom Admin authorisierte Software installieren - zur Not interaktiv, im besten Fall wrappt man jedoch Kommandos zur unattended Installation.
Noch ein Zusatz: Es wurde ja auf Softwareinstallations-GPOs hingewiesen. Jedoch sollte man auf MSI-Wrapper hinweisen, die machen das Installieren beliebiger Software, welche nicht als MSI-vorliegt, kinderleicht. Ein bekannter Wrapper (neben 50 Cent) ist WIWW. Bei Interesse bitte melden, wenn Du ihn im Netz nicht mehr findest.
Ziel der Aktion: Über "Software vom Netzwerk installieren" unterhalb von appwiz.cpl kann jeder schwache Benutzer somit beliebige vom Admin authorisierte Software installieren - zur Not interaktiv, im besten Fall wrappt man jedoch Kommandos zur unattended Installation.