GPO Lokale Administratoren - Verständnissfrage
Hallo Communitiy,
ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.
Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.
Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:
1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?
Danke!
Variante 1
Variante 2
ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.
Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.
Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:
1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?
Danke!
Variante 1
Variante 2
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204124
Url: https://administrator.de/forum/gpo-lokale-administratoren-verstaendnissfrage-204124.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...
Gruß,
Peter
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
> ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben
etwas ganz anderes bedeuten? Dazu am Lokalen Rechner nach Benutzer - Erweitert - Gruppen - Administratoren gehen und händisch eintragen oder das ganze per Gruppenrichtline und einer Domäne aus machen. Das hat mit deinen Bildern nichts zu tun. Bedenke: ein Administrator ist ein Administartor. Du kannst versuchen ihn einzuschränken (deine Bilder?) aber ein Administrator ist eben ein Administartor und kann sich wieder selbst befreien weil er eben ein Administrator ist.Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...
Gruß,
Peter
Hallo StripLV,
Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
MfG,
ticuta1
Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
MfG,
ticuta1
Hi.
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
Du hast von mir Links bekommen, die alle Fragen beantworten und bist darauf nicht eingegangen. Ebensowenig auf die Bitte.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:
[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
>Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:
- Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
- Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
>Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
Hi.
Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.
Ostergrüße!
Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.
Ostergrüße!