sabschap
Goto Top

Gruppe in AD für Benutzer, die je nach Bedarf Programme installieren dürfen

Hallo, wir haben einen Windows 2019 Server. Folgendes soll realisiert werden: Wenn ein Standard Benutzer sich ein Programm installieren muss, hat er dazu i.d.R. nicht die Rechte. Ich möchte aber im AD eine Gruppe anlegen, die diese Rechte hat. Somit müsste ich den AD-Standard Benutzer einfach temporär in diese Gruppe ziehen, der Benutzer kann installieren und dann ziehe ich diesen Benutzer wieder raus.

Wo müsste ich in der Struktur diese Gruppe anlegen und welche Rechte benötigt diese Gruppe?

Des weiteren möchte ich Installations-Admins erstellen, die zwar Programme installieren können, wenn Sie bei einem Standard-Benutzer ihre Zugangsdaten angeben, die bei der Installation abgefragt werden, aber wenn sich so ein Installationsadmin an der Domäne anmeldet, soll dieser keine Netzwerkordner sehen, also keinen Zugriff auf die Daten bekommen.

Wie kann ich hier am Besten vorgehen?

Danke!
ad-struktur

Content-ID: 664976

Url: https://administrator.de/contentid/664976

Ausgedruckt am: 26.11.2024 um 02:11 Uhr

Heididliho
Heididliho 22.03.2021 aktualisiert um 10:47:53 Uhr
Goto Top
Hi,

erstmal, so richtig schön ist das ganze nicht! face-smile

aber möglich!
Z.b. eine Ad Gruppe mit dem Namen "Service-Accounts" diese wird per GPO an die Clients ausgerollt und wird dort dann als Lokaler Admin hinterlegt.
Anschließend können Sie die User je nach bedarf der Gruppe hinzufügen o herausnehmen.

Schön deshalb nicht, da die entsprechenden User dann theoretisch auf allen Clients auf die die GPO zieht lokale Admin Rechte haben.


Einfacher wäre den Usern je nach bedarf direkt auf dem Client die lokalen admin rechte zu vergeben...
Dies ist auch direkt über die AD möglich - rechtsklick auf den Client und anschließend auf Verwalten hier unter Lokale Benutzer und Gruppen den User der Gruppe "Administratoren" hinzufügen.

Ich gehe mal davon aus, dass es sich nicht um viele Clients in Ihrer Umgebung handelt, deshalb würde ich fast zur zweiten Option tendieren.


MFG
Doskias
Doskias 22.03.2021 aktualisiert um 11:51:41 Uhr
Goto Top
Moin
Zitat von @SabSchap:
Hallo, wir haben einen Windows 2019 Server. Folgendes soll realisiert werden: Wenn ein Standard Benutzer sich ein Programm installieren muss, hat er dazu i.d.R. nicht die Rechte.
Du meinst einen Domänen-Benutzer. Es gibt keinen Standard. Standard legt jeder für sich selbst fest.

Ich möchte aber im AD eine Gruppe anlegen, die diese Rechte hat. Somit müsste ich den AD-Standard Benutzer einfach temporär in diese Gruppe ziehen, der Benutzer kann installieren und dann ziehe ich diesen Benutzer wieder raus.
So differenziert sind Windows-Berechtigungen nicht. Nur Administratoren haben Rechte Programme zu installieren. Was du also machen willst ist dem User temporär Adminberechtigungen zu geben.

Wo müsste ich in der Struktur diese Gruppe anlegen und welche Rechte benötigt diese Gruppe?
Was Benutzer dürfen und was nicht, wird im Regelfall über eine (oder mehrere) GPOs gesteuert.

Des weiteren möchte ich Installations-Admins erstellen, die zwar Programme installieren können, wenn Sie bei einem Standard-Benutzer ihre Zugangsdaten angeben, die bei der Installation abgefragt werden, aber wenn sich so ein Installationsadmin an der Domäne anmeldet, soll dieser keine Netzwerkordner sehen, also keinen Zugriff auf die Daten bekommen.
Siehe oben: Account anlegen, Adminrechte zuweisen, GPO konfigurieren was dieser Admin-Account darf.

Allgemein gilt aber: Es sind dann Admins, die mehr können als nur Programme zu installieren.

Die Kernfrage die sich mir allerdings stellt ist: Wieso sollen User Programme installieren. Ein normaler Anwender hat keine Programme zu installieren. Das Installieren von Software ganz gleich welcher Art ist die Aufgabe des Admins. Der muss im Vorfeld sagen ob das Programm geeignet ist und ob es ggf. etwas durcheinander bringt. Versuch also deinen Job nicht die Anwender machen zu lassen face-wink

Gruß
Doskias