matrix-mdt
Goto Top

Lokale Rechte? Wie?

Hallo, ich hoffe ihr könnt mir Helfen.

Wie bekomme ich es hin, das ein Benutzer in der Domäne Lokal auf seinen Rechner Administrative Rechte bekommt (Für Lokale installationen, Systemsteuerung einstellen etc.).

So sieht es im Moment aus:

Benutzer ist in der Domäne als ganz normaler Benutzer eingetragen.
Lokal am PC (nicht in der Domäne) ist er als Administrator und Hauptbenutzer eingetragen.

Jetzt habe ich das Problem das der Benutzer seine Energieverwaltung nicht einstellen kann, Outlook fragt nach jedem Start "Soll Outlook als Standart Mail Programm eingerichtet werden?" und der Benutzer kann lokal nichts Installieren.

Danke für Infos

Grüße Matrix_mdt

Content-ID: 20306

Url: https://administrator.de/contentid/20306

Ausgedruckt am: 26.11.2024 um 16:11 Uhr

Atti58
Atti58 24.11.2005 um 10:39:51 Uhr
Goto Top
Das machst Du so:

"lokale Benutzerverwaltung" -> Lasche "Erweitert" -> Button "Erweitert" -> Gruppe "Administratoren" öffnen und über "Hinzufügen" -> "Erweitert" -> "Jetzt suchen" -> den Namen auswählen und "Hinzufügen" (ggf. vorher noch "Suche in")

Gruß

Atti

PS: Nach den Einstellungen solltest Du ihm diese Rechte aber wieder weg nehmen ...
DOT50AE
DOT50AE 24.11.2005 um 10:45:47 Uhr
Goto Top
Hi,

Ich hab das ganze so gelöst.
In der Domäne gibt es eine Gruppe "localadmin"
In dieser Gruppe sind alle user, welche lokale adminrechte erhalten sollen.
Und zuguterletzt mach ich einfach an den workstations das Konto Administrator
Mitglied der Gruppe localadmins.

somit kannst du halt über die Domänenverwaltung einzelnen Benutzern das
Recht wieder nehmen ohne an den Workstations rumzueiern.

Viel Erfolg

Dot
Matrix-mdt
Matrix-mdt 24.11.2005 um 10:47:25 Uhr
Goto Top
Ja aber da ist er ja schon eingetragen. Das ist ja mein Problem. Trozdem kann er nichts einstellen.
Atti58
Atti58 24.11.2005 um 13:26:40 Uhr
Goto Top
Kann es sein, dass Ihr irgendwo an den Policies was verändert habt? Wenn es nur um die Einstellungen geht, mache den User einfach temporär zum Domänenadmin, ändere die Einstellungen und setze den User zurück,

Gruß

Atti.
DOT50AE
DOT50AE 24.11.2005 um 13:35:13 Uhr
Goto Top
also an den policies musste hierfür nix ändern.

wiegesagt. nur an den clients den administrator in die gruppe der localadmins aufnehmen.
also rechtsklick auf arbeitsplatz, verwalten, benutzer und gruppen, gruppen, administratoren doppelklicken. dann einfach localadmin hinzufügen.

dann machste auf deinem Domänen controller ne neue Gruppe die du localadmin nennst.
und hier machst du alle user mitglied, welche dann Adminrechte auf den lokalen Maschinen haben sollen.

Mehr muss man da nicht machen.

Dot
Atti58
Atti58 24.11.2005 um 13:45:36 Uhr
Goto Top
... matrix schreibt doch, dass der User schon Mitglied der lokalen Admingruppe ist und es trotzdem nicht funktioniert - deshalb der Einwurf mit den Policies.

Außerdem ist jeder User in der Gruppe "localadmins" ein User zu viel mit diesen Rechten ...

Gruß

Atti
Matrix-mdt
Matrix-mdt 24.11.2005 um 13:57:38 Uhr
Goto Top
Die Polices habe ich mit Hilfe von "Richtlinienergebnissatz" geprüft. Auch die Localen Richtlinien habe ich durchsucht. Nichts was den Benutzer einschränken könnte.

Noch ein paar Technische Infos

Domäne: Windows 2003
Client: IMB Thinkpad Windows XP
DOT50AE
DOT50AE 24.11.2005 um 14:13:48 Uhr
Goto Top
hmm lest doch mal.
ich rede nicht von der vordefinierten lokalen admingruppe
sondern von einer selbst erstellten gruppe.
Diese heisst "localadmin" und jeder lokal-admin ist mitglied dieser Gruppe.
somit kann man die rechte rel. einfach setzen und wieder nehmen.

Und das lokale administratorkonto ist mitglied in eben genau dieser selbstdefinierten gruppe.

ich habe gestern erst eine Domäne aufgesetzt und da hab ich das genauso
gemacht. Das funktioniert einwandfrei.

Ich würde den user einfach mal löschen und komplett neu erstellen.

Zu deinen bedenken: klar sind lokale adminrechte nicht das gelbe vom ei.
jedoch um anständig zu arbeiten kommt man fast nicht drum rum es seidenn man
nimmt tolle scripts welche einen temporär adminrechte geben... (siehe aktuelle CT).

greetings

Dot
Atti58
Atti58 24.11.2005 um 14:29:57 Uhr
Goto Top
@DOT50AE

Ich habe schon gelesen, was Du geschrieben hast, rechtetechnisch ist das aber nichts anderes als das, was ich vorgeschlagen habe und wenn das eine nicht geht, geht Dein Vorschlag auch nicht.

In unserer Domäne gibt es keinen einzigen User, der auch nur Hauptbenutzer ist, geschweige denn lokaler Admin - es ist halt alles nur eine Frage der Einstellungen ...

@matrix

... hast Du es als Domainadmin versucht? Eventuell ist das Userprofil kaputt, sichere es doch mal (Desktop, Favoriten), lösche es und erstelle ein neues ...

Gruß

Atti
Atti58
Atti58 24.11.2005 um 14:35:15 Uhr
Goto Top
Du kannst auch das "Default User"-Profil so vorbereiten, dass nachbesserungen gar nicht notwendig sind:

1. Du stellst als Administrator alles ein, was Du möchtest und öffnest auch gleich noch alle Office-Programme ein Mal (so vermeidest Du, dass die Programme "nachinstallieren" wollen) und loggst Dich als ein anderer User mit Adminrechten wieder ein.


2. Du löscht den kompletten Inhalt des (versteckten!!) Ordners "Default User" unter "Dokumente und Einstellungen" und kopierst das Administratorprofil über "Eigenschaften von Arbeitsplatz" -> "Erweitert" -> "Benutzerprofile" -> "Einstellungen" mit Änderung der Berechtigungen auf "Jeder" zum Ordner "C:\Dokumente und Einstellungen\Default User"


3. um sicher zu gehen, dass Deine Benutzer keine Berechtigungsprobleme bekommen, musst Du jetzt noch "Regedit.exe" starten, "HKEY_LOCAL_MACHINE" markieren und über "Datei" -> "Struktur laden" die "NTUSER.DAT" im Verzeichnis "C:\Dokumente und Einstellungen\Default User" als z.B. "Test" öffnen. Jetzt exportierst Du nur den Teil "Test" irgendwo hin, öffnest diese Datei mit WordPad (Ohne "Regedit" zu schließen!!) und ersetzt alle Vorkommen von "Administrator" (oder "Administrator.[Domänen-Name]") durch "Default User", diese Datei speicherst Du ab und führst einen Doppelklick darauf aus, um sie wierder in dei Registry zu importieren. Bevor Du den Registry-Editor schließt, musst Du unbedingt die "NTUSER.DAT" freigeben durch Markieren von "Test" und "Datei" -> "Struktur entfernen", sonst geht alles daneben!!!!


4. Du löscht das Userprofil als Admin und erstellst durch erneutes Einloggen als User ein neues Profil.

Aber bitte alles mit äußerster Vorsicht erledigen (mache Dir vielleicht vorher eine Sicherungskopie). ...

Gruß

Atti