10
Lokale Rechte? Wie?
Hallo, ich hoffe ihr könnt mir Helfen.
Wie bekomme ich es hin, das ein Benutzer in der Domäne Lokal auf seinen Rechner Administrative Rechte bekommt (Für Lokale installationen, Systemsteuerung einstellen etc.).
So sieht es im Moment aus:
Benutzer ist in der Domäne als ganz normaler Benutzer eingetragen.
Lokal am PC (nicht in der Domäne) ist er als Administrator und Hauptbenutzer eingetragen.
Jetzt habe ich das Problem das der Benutzer seine Energieverwaltung nicht einstellen kann, Outlook fragt nach jedem Start "Soll Outlook als Standart Mail Programm eingerichtet werden?" und der Benutzer kann lokal nichts Installieren.
Danke für Infos
Grüße Matrix_mdt
Wie bekomme ich es hin, das ein Benutzer in der Domäne Lokal auf seinen Rechner Administrative Rechte bekommt (Für Lokale installationen, Systemsteuerung einstellen etc.).
So sieht es im Moment aus:
Benutzer ist in der Domäne als ganz normaler Benutzer eingetragen.
Lokal am PC (nicht in der Domäne) ist er als Administrator und Hauptbenutzer eingetragen.
Jetzt habe ich das Problem das der Benutzer seine Energieverwaltung nicht einstellen kann, Outlook fragt nach jedem Start "Soll Outlook als Standart Mail Programm eingerichtet werden?" und der Benutzer kann lokal nichts Installieren.
Danke für Infos
Grüße Matrix_mdt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 20306
Url: https://administrator.de/contentid/20306
Ausgedruckt am: 13.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Das machst Du so:
"lokale Benutzerverwaltung" -> Lasche "Erweitert" -> Button "Erweitert" -> Gruppe "Administratoren" öffnen und über "Hinzufügen" -> "Erweitert" -> "Jetzt suchen" -> den Namen auswählen und "Hinzufügen" (ggf. vorher noch "Suche in")
Gruß
Atti
PS: Nach den Einstellungen solltest Du ihm diese Rechte aber wieder weg nehmen ...
"lokale Benutzerverwaltung" -> Lasche "Erweitert" -> Button "Erweitert" -> Gruppe "Administratoren" öffnen und über "Hinzufügen" -> "Erweitert" -> "Jetzt suchen" -> den Namen auswählen und "Hinzufügen" (ggf. vorher noch "Suche in")
Gruß
Atti
PS: Nach den Einstellungen solltest Du ihm diese Rechte aber wieder weg nehmen ...
Hi,
Ich hab das ganze so gelöst.
In der Domäne gibt es eine Gruppe "localadmin"
In dieser Gruppe sind alle user, welche lokale adminrechte erhalten sollen.
Und zuguterletzt mach ich einfach an den workstations das Konto Administrator
Mitglied der Gruppe localadmins.
somit kannst du halt über die Domänenverwaltung einzelnen Benutzern das
Recht wieder nehmen ohne an den Workstations rumzueiern.
Viel Erfolg
Dot
Ich hab das ganze so gelöst.
In der Domäne gibt es eine Gruppe "localadmin"
In dieser Gruppe sind alle user, welche lokale adminrechte erhalten sollen.
Und zuguterletzt mach ich einfach an den workstations das Konto Administrator
Mitglied der Gruppe localadmins.
somit kannst du halt über die Domänenverwaltung einzelnen Benutzern das
Recht wieder nehmen ohne an den Workstations rumzueiern.
Viel Erfolg
Dot
Ja aber da ist er ja schon eingetragen. Das ist ja mein Problem. Trozdem kann er nichts einstellen.
Kann es sein, dass Ihr irgendwo an den Policies was verändert habt? Wenn es nur um die Einstellungen geht, mache den User einfach temporär zum Domänenadmin, ändere die Einstellungen und setze den User zurück,
Gruß
Atti.
Gruß
Atti.
also an den policies musste hierfür nix ändern.
wiegesagt. nur an den clients den administrator in die gruppe der localadmins aufnehmen.
also rechtsklick auf arbeitsplatz, verwalten, benutzer und gruppen, gruppen, administratoren doppelklicken. dann einfach localadmin hinzufügen.
dann machste auf deinem Domänen controller ne neue Gruppe die du localadmin nennst.
und hier machst du alle user mitglied, welche dann Adminrechte auf den lokalen Maschinen haben sollen.
Mehr muss man da nicht machen.
Dot
wiegesagt. nur an den clients den administrator in die gruppe der localadmins aufnehmen.
also rechtsklick auf arbeitsplatz, verwalten, benutzer und gruppen, gruppen, administratoren doppelklicken. dann einfach localadmin hinzufügen.
dann machste auf deinem Domänen controller ne neue Gruppe die du localadmin nennst.
und hier machst du alle user mitglied, welche dann Adminrechte auf den lokalen Maschinen haben sollen.
Mehr muss man da nicht machen.
Dot
... matrix schreibt doch, dass der User schon Mitglied der lokalen Admingruppe ist und es trotzdem nicht funktioniert - deshalb der Einwurf mit den Policies.
Außerdem ist jeder User in der Gruppe "localadmins" ein User zu viel mit diesen Rechten ...
Gruß
Atti
Außerdem ist jeder User in der Gruppe "localadmins" ein User zu viel mit diesen Rechten ...
Gruß
Atti
Die Polices habe ich mit Hilfe von "Richtlinienergebnissatz" geprüft. Auch die Localen Richtlinien habe ich durchsucht. Nichts was den Benutzer einschränken könnte.
Noch ein paar Technische Infos
Domäne: Windows 2003
Client: IMB Thinkpad Windows XP
Noch ein paar Technische Infos
Domäne: Windows 2003
Client: IMB Thinkpad Windows XP
hmm lest doch mal.
ich rede nicht von der vordefinierten lokalen admingruppe
sondern von einer selbst erstellten gruppe.
Diese heisst "localadmin" und jeder lokal-admin ist mitglied dieser Gruppe.
somit kann man die rechte rel. einfach setzen und wieder nehmen.
Und das lokale administratorkonto ist mitglied in eben genau dieser selbstdefinierten gruppe.
ich habe gestern erst eine Domäne aufgesetzt und da hab ich das genauso
gemacht. Das funktioniert einwandfrei.
Ich würde den user einfach mal löschen und komplett neu erstellen.
Zu deinen bedenken: klar sind lokale adminrechte nicht das gelbe vom ei.
jedoch um anständig zu arbeiten kommt man fast nicht drum rum es seidenn man
nimmt tolle scripts welche einen temporär adminrechte geben... (siehe aktuelle CT).
greetings
Dot
ich rede nicht von der vordefinierten lokalen admingruppe
sondern von einer selbst erstellten gruppe.
Diese heisst "localadmin" und jeder lokal-admin ist mitglied dieser Gruppe.
somit kann man die rechte rel. einfach setzen und wieder nehmen.
Und das lokale administratorkonto ist mitglied in eben genau dieser selbstdefinierten gruppe.
ich habe gestern erst eine Domäne aufgesetzt und da hab ich das genauso
gemacht. Das funktioniert einwandfrei.
Ich würde den user einfach mal löschen und komplett neu erstellen.
Zu deinen bedenken: klar sind lokale adminrechte nicht das gelbe vom ei.
jedoch um anständig zu arbeiten kommt man fast nicht drum rum es seidenn man
nimmt tolle scripts welche einen temporär adminrechte geben... (siehe aktuelle CT).
greetings
Dot
@DOT50AE
Ich habe schon gelesen, was Du geschrieben hast, rechtetechnisch ist das aber nichts anderes als das, was ich vorgeschlagen habe und wenn das eine nicht geht, geht Dein Vorschlag auch nicht.
In unserer Domäne gibt es keinen einzigen User, der auch nur Hauptbenutzer ist, geschweige denn lokaler Admin - es ist halt alles nur eine Frage der Einstellungen ...
@matrix
... hast Du es als Domainadmin versucht? Eventuell ist das Userprofil kaputt, sichere es doch mal (Desktop, Favoriten), lösche es und erstelle ein neues ...
Gruß
Atti
Ich habe schon gelesen, was Du geschrieben hast, rechtetechnisch ist das aber nichts anderes als das, was ich vorgeschlagen habe und wenn das eine nicht geht, geht Dein Vorschlag auch nicht.
In unserer Domäne gibt es keinen einzigen User, der auch nur Hauptbenutzer ist, geschweige denn lokaler Admin - es ist halt alles nur eine Frage der Einstellungen ...
@matrix
... hast Du es als Domainadmin versucht? Eventuell ist das Userprofil kaputt, sichere es doch mal (Desktop, Favoriten), lösche es und erstelle ein neues ...
Gruß
Atti
Du kannst auch das "Default User"-Profil so vorbereiten, dass nachbesserungen gar nicht notwendig sind:
1. Du stellst als Administrator alles ein, was Du möchtest und öffnest auch gleich noch alle Office-Programme ein Mal (so vermeidest Du, dass die Programme "nachinstallieren" wollen) und loggst Dich als ein anderer User mit Adminrechten wieder ein.
2. Du löscht den kompletten Inhalt des (versteckten!!) Ordners "Default User" unter "Dokumente und Einstellungen" und kopierst das Administratorprofil über "Eigenschaften von Arbeitsplatz" -> "Erweitert" -> "Benutzerprofile" -> "Einstellungen" mit Änderung der Berechtigungen auf "Jeder" zum Ordner "C:\Dokumente und Einstellungen\Default User"
3. um sicher zu gehen, dass Deine Benutzer keine Berechtigungsprobleme bekommen, musst Du jetzt noch "Regedit.exe" starten, "HKEY_LOCAL_MACHINE" markieren und über "Datei" -> "Struktur laden" die "NTUSER.DAT" im Verzeichnis "C:\Dokumente und Einstellungen\Default User" als z.B. "Test" öffnen. Jetzt exportierst Du nur den Teil "Test" irgendwo hin, öffnest diese Datei mit WordPad (Ohne "Regedit" zu schließen!!) und ersetzt alle Vorkommen von "Administrator" (oder "Administrator.[Domänen-Name]") durch "Default User", diese Datei speicherst Du ab und führst einen Doppelklick darauf aus, um sie wierder in dei Registry zu importieren. Bevor Du den Registry-Editor schließt, musst Du unbedingt die "NTUSER.DAT" freigeben durch Markieren von "Test" und "Datei" -> "Struktur entfernen", sonst geht alles daneben!!!!
4. Du löscht das Userprofil als Admin und erstellst durch erneutes Einloggen als User ein neues Profil.
Aber bitte alles mit äußerster Vorsicht erledigen (mache Dir vielleicht vorher eine Sicherungskopie). ...
Gruß
Atti
1. Du stellst als Administrator alles ein, was Du möchtest und öffnest auch gleich noch alle Office-Programme ein Mal (so vermeidest Du, dass die Programme "nachinstallieren" wollen) und loggst Dich als ein anderer User mit Adminrechten wieder ein.
2. Du löscht den kompletten Inhalt des (versteckten!!) Ordners "Default User" unter "Dokumente und Einstellungen" und kopierst das Administratorprofil über "Eigenschaften von Arbeitsplatz" -> "Erweitert" -> "Benutzerprofile" -> "Einstellungen" mit Änderung der Berechtigungen auf "Jeder" zum Ordner "C:\Dokumente und Einstellungen\Default User"
3. um sicher zu gehen, dass Deine Benutzer keine Berechtigungsprobleme bekommen, musst Du jetzt noch "Regedit.exe" starten, "HKEY_LOCAL_MACHINE" markieren und über "Datei" -> "Struktur laden" die "NTUSER.DAT" im Verzeichnis "C:\Dokumente und Einstellungen\Default User" als z.B. "Test" öffnen. Jetzt exportierst Du nur den Teil "Test" irgendwo hin, öffnest diese Datei mit WordPad (Ohne "Regedit" zu schließen!!) und ersetzt alle Vorkommen von "Administrator" (oder "Administrator.[Domänen-Name]") durch "Default User", diese Datei speicherst Du ab und führst einen Doppelklick darauf aus, um sie wierder in dei Registry zu importieren. Bevor Du den Registry-Editor schließt, musst Du unbedingt die "NTUSER.DAT" freigeben durch Markieren von "Test" und "Datei" -> "Struktur entfernen", sonst geht alles daneben!!!!
4. Du löscht das Userprofil als Admin und erstellst durch erneutes Einloggen als User ein neues Profil.
Aber bitte alles mit äußerster Vorsicht erledigen (mache Dir vielleicht vorher eine Sicherungskopie). ...
Gruß
Atti
