Gruppe in AD für Benutzer, die je nach Bedarf Programme installieren dürfen
Hallo, wir haben einen Windows 2019 Server. Folgendes soll realisiert werden: Wenn ein Standard Benutzer sich ein Programm installieren muss, hat er dazu i.d.R. nicht die Rechte. Ich möchte aber im AD eine Gruppe anlegen, die diese Rechte hat. Somit müsste ich den AD-Standard Benutzer einfach temporär in diese Gruppe ziehen, der Benutzer kann installieren und dann ziehe ich diesen Benutzer wieder raus.
Wo müsste ich in der Struktur diese Gruppe anlegen und welche Rechte benötigt diese Gruppe?
Des weiteren möchte ich Installations-Admins erstellen, die zwar Programme installieren können, wenn Sie bei einem Standard-Benutzer ihre Zugangsdaten angeben, die bei der Installation abgefragt werden, aber wenn sich so ein Installationsadmin an der Domäne anmeldet, soll dieser keine Netzwerkordner sehen, also keinen Zugriff auf die Daten bekommen.
Wie kann ich hier am Besten vorgehen?
Danke!
Wo müsste ich in der Struktur diese Gruppe anlegen und welche Rechte benötigt diese Gruppe?
Des weiteren möchte ich Installations-Admins erstellen, die zwar Programme installieren können, wenn Sie bei einem Standard-Benutzer ihre Zugangsdaten angeben, die bei der Installation abgefragt werden, aber wenn sich so ein Installationsadmin an der Domäne anmeldet, soll dieser keine Netzwerkordner sehen, also keinen Zugriff auf die Daten bekommen.
Wie kann ich hier am Besten vorgehen?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 664976
Url: https://administrator.de/contentid/664976
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
erstmal, so richtig schön ist das ganze nicht!
aber möglich!
Z.b. eine Ad Gruppe mit dem Namen "Service-Accounts" diese wird per GPO an die Clients ausgerollt und wird dort dann als Lokaler Admin hinterlegt.
Anschließend können Sie die User je nach bedarf der Gruppe hinzufügen o herausnehmen.
Schön deshalb nicht, da die entsprechenden User dann theoretisch auf allen Clients auf die die GPO zieht lokale Admin Rechte haben.
Einfacher wäre den Usern je nach bedarf direkt auf dem Client die lokalen admin rechte zu vergeben...
Dies ist auch direkt über die AD möglich - rechtsklick auf den Client und anschließend auf Verwalten hier unter Lokale Benutzer und Gruppen den User der Gruppe "Administratoren" hinzufügen.
Ich gehe mal davon aus, dass es sich nicht um viele Clients in Ihrer Umgebung handelt, deshalb würde ich fast zur zweiten Option tendieren.
MFG
erstmal, so richtig schön ist das ganze nicht!
aber möglich!
Z.b. eine Ad Gruppe mit dem Namen "Service-Accounts" diese wird per GPO an die Clients ausgerollt und wird dort dann als Lokaler Admin hinterlegt.
Anschließend können Sie die User je nach bedarf der Gruppe hinzufügen o herausnehmen.
Schön deshalb nicht, da die entsprechenden User dann theoretisch auf allen Clients auf die die GPO zieht lokale Admin Rechte haben.
Einfacher wäre den Usern je nach bedarf direkt auf dem Client die lokalen admin rechte zu vergeben...
Dies ist auch direkt über die AD möglich - rechtsklick auf den Client und anschließend auf Verwalten hier unter Lokale Benutzer und Gruppen den User der Gruppe "Administratoren" hinzufügen.
Ich gehe mal davon aus, dass es sich nicht um viele Clients in Ihrer Umgebung handelt, deshalb würde ich fast zur zweiten Option tendieren.
MFG
Moin
Allgemein gilt aber: Es sind dann Admins, die mehr können als nur Programme zu installieren.
Die Kernfrage die sich mir allerdings stellt ist: Wieso sollen User Programme installieren. Ein normaler Anwender hat keine Programme zu installieren. Das Installieren von Software ganz gleich welcher Art ist die Aufgabe des Admins. Der muss im Vorfeld sagen ob das Programm geeignet ist und ob es ggf. etwas durcheinander bringt. Versuch also deinen Job nicht die Anwender machen zu lassen
Gruß
Doskias
Zitat von @SabSchap:
Hallo, wir haben einen Windows 2019 Server. Folgendes soll realisiert werden: Wenn ein Standard Benutzer sich ein Programm installieren muss, hat er dazu i.d.R. nicht die Rechte.
Du meinst einen Domänen-Benutzer. Es gibt keinen Standard. Standard legt jeder für sich selbst fest.Hallo, wir haben einen Windows 2019 Server. Folgendes soll realisiert werden: Wenn ein Standard Benutzer sich ein Programm installieren muss, hat er dazu i.d.R. nicht die Rechte.
Ich möchte aber im AD eine Gruppe anlegen, die diese Rechte hat. Somit müsste ich den AD-Standard Benutzer einfach temporär in diese Gruppe ziehen, der Benutzer kann installieren und dann ziehe ich diesen Benutzer wieder raus.
So differenziert sind Windows-Berechtigungen nicht. Nur Administratoren haben Rechte Programme zu installieren. Was du also machen willst ist dem User temporär Adminberechtigungen zu geben.Wo müsste ich in der Struktur diese Gruppe anlegen und welche Rechte benötigt diese Gruppe?
Was Benutzer dürfen und was nicht, wird im Regelfall über eine (oder mehrere) GPOs gesteuert.Des weiteren möchte ich Installations-Admins erstellen, die zwar Programme installieren können, wenn Sie bei einem Standard-Benutzer ihre Zugangsdaten angeben, die bei der Installation abgefragt werden, aber wenn sich so ein Installationsadmin an der Domäne anmeldet, soll dieser keine Netzwerkordner sehen, also keinen Zugriff auf die Daten bekommen.
Siehe oben: Account anlegen, Adminrechte zuweisen, GPO konfigurieren was dieser Admin-Account darf.Allgemein gilt aber: Es sind dann Admins, die mehr können als nur Programme zu installieren.
Die Kernfrage die sich mir allerdings stellt ist: Wieso sollen User Programme installieren. Ein normaler Anwender hat keine Programme zu installieren. Das Installieren von Software ganz gleich welcher Art ist die Aufgabe des Admins. Der muss im Vorfeld sagen ob das Programm geeignet ist und ob es ggf. etwas durcheinander bringt. Versuch also deinen Job nicht die Anwender machen zu lassen
Gruß
Doskias