striplv
Goto Top

GPO Lokale Administratoren - Verständnissfrage

Hallo Communitiy,

ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.

Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.

Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:

1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?

Danke!

Variante 1

64d4f255d66471f4c56290de7919c1cc

Variante 2

2c493fe0dc7287c44b849e187903bf7a

Content-ID: 204124

Url: https://administrator.de/forum/gpo-lokale-administratoren-verstaendnissfrage-204124.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

Pjordorf
Pjordorf 28.03.2013 um 18:24:46 Uhr
Goto Top
Hallo,

Zitat von @StripLV:
1. Was ist richtig?
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
> ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben
etwas ganz anderes bedeuten? Dazu am Lokalen Rechner nach Benutzer - Erweitert - Gruppen - Administratoren gehen und händisch eintragen oder das ganze per Gruppenrichtline und einer Domäne aus machen. Das hat mit deinen Bildern nichts zu tun. Bedenke: ein Administrator ist ein Administartor. Du kannst versuchen ihn einzuschränken (deine Bilder?) aber ein Administrator ist eben ein Administartor und kann sich wieder selbst befreien weil er eben ein Administrator ist.

Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...

Gruß,
Peter
ticuta1
ticuta1 28.03.2013 aktualisiert um 23:25:07 Uhr
Goto Top
Hallo StripLV,

Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
MfG,
ticuta1
DerWoWusste
DerWoWusste 29.03.2013 um 16:29:23 Uhr
Goto Top
Hi.
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
StripLV
StripLV 29.03.2013 um 17:14:46 Uhr
Goto Top
Zuerst mal danke an alle!

@Pjordorf Was ich erreichen möchte: Der User soll an seinem PC Software installieren können. Er ist als Domänenbenutzer angemeldet (also als Domain\User und nicht als PCName\User). Mehr nicht.

@ticuta1 In deinem Link ganz unten der Screenshot verwirrt mich jetzt noch mehr. Da sind ja meine beiden Varianten GLEICHZEITIG in einer GPO?

@DerWoWusste Natürlich arbeite ich mit Softwareverteilung (Java Adobe Reader, Flash usw.). Ich habe auch schon viel darüber gelesen. Fakt ist was ich bis jetzt festgestellt habe: Wenn ich Variante 1 nehme kann der User wie gewünscht die SW installieren.

Nur weiß ich nicht:

1. ob er dadurch noch mehr Rechte bekommt?

2. Nach wie vor den Unterschied zwischen meiner Variante 1 und 2. Wie gesagt ich finde Anleitungen in dem sowohl Variante 1 beschrieben wird als auch Variante 2. Und nun durch den Link von tictua1 auch noch beides gleichzeitig. Was passiert den bei Variante 1 auf dem Client und was bei Variante 2? (und wo sind die Unterschiede)

3. Wie handhabt ihr das? Was ist "best practice" eurer Meinung nach?

Sorry aber ich bin echt verwirrt. Daher auch die Frage an euch.

Danke noch mals!
DerWoWusste
DerWoWusste 29.03.2013 um 17:40:26 Uhr
Goto Top
Du hast von mir Links bekommen, die alle Fragen beantworten und bist darauf nicht eingegangen. Ebensowenig auf die Bitte.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
>Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
ticuta1
ticuta1 29.03.2013 um 19:25:15 Uhr
Goto Top
Hallo StripLC,

eigentlich wenn Du aufmerksam gelesen hättest, hättest Du schon bemerkt dass mein Link als Best Practice die eingeschränkte Gruppe vorgibt, wass eigentlich auch die Meinung von DerWoWusste ist.
LG, ticuta1
StripLV
StripLV 30.03.2013 um 10:18:13 Uhr
Goto Top
@DerWoWusste

Der von dir beschriebene Weg (Additive) IST doch meine Variante 1.Auf der anderen Seite schreibst Du das er mehr Rechte bekommt? Hä?

Zu 3. Ja aber in meinem Fall ist diese Sw nicht als MSI verfügbar und auch so nicht machbar. Der Typ macht das Onlinemarketing / Grafiken / Website usw. Wenn er mich jedes mal wenn er was installieren will kontaktieren muss ist das nicht so optimal. Daher soll er installieren was er will AUF SEINEM PC.

@ticuta1

Dein Link beschreibt sowohl meine Variante 1 und 2.

Was ich als Fazit durch eure Beiträge verstehe: Ich werde meine Variante 1 nehmen. Das müsste dann passen.

DANKE noch mal an euch!
DerWoWusste
DerWoWusste 31.03.2013 um 08:57:49 Uhr
Goto Top
Hi.

Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.

Ostergrüße!