lokalen Benutzer über AD zentral anlegen
Hallo,
habe folgendes Anliegen.
In einer Domäne (Windows2003 Server mit Win XP Clients) möchten wir ein Netzwerk-Analyseprogramm einrichten. Dieses Programm benutzt unter anderem WMI. Wenn man nun den Administrator incl. Passwort eingibt, funktioniert es. Wir möchten aber einen Benutzer einrichten, der auf den Clients WMI zugriff hat, aber kein Domänenadmin ist.
Nun habe ich folgendes im Internet (www.administrator.info ) gefunden:
Zitat:
„Wer seinen WMI-Benutzer nicht gleich mit allmächtigen Domainadmin-Rechten ausstatten möchte, kann einen Domänenuser anlegen, und diesem dann auf allen Rechnern die lokalen Gruppenzugehörigkeiten HAUPTBENUTZER und Distributed COM Benutzer einrichten. Das Kann entweder manuell auf jedem Rechner erfolgen, oder auch per Gruppenrichtlinie vom DC aus geschehen. Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Willst Du auch Methoden verschiedener WMI-Klassen ausführen, dann muss auch bei Methoden ausführen ein Häkchen gemacht werden.
So, das ist die relativ komplizierte, jedoch sehr viel sicherere Variante, das ganze zu konfigurieren. Viel Schweiß und Tränen hat diese Erkenntnis verursacht!
Zitat Ende“
Meine Fragen:
1: Wie kann ich über GPO’s oder Scripting einen User anlegen, der die Berechtigung auf den Clients zum ausführen von WMI hat? Finde diesbezüglich nichts im Internet.
2: das einrichten des WMI Zugriffs muss zentral und auch per GPO oder script erfogen. Jeden PC mit dem „wmimgmt.msc“ einzurichten ist zu aufwendig
Bin über jeden tipp dankbar!
thomas
habe folgendes Anliegen.
In einer Domäne (Windows2003 Server mit Win XP Clients) möchten wir ein Netzwerk-Analyseprogramm einrichten. Dieses Programm benutzt unter anderem WMI. Wenn man nun den Administrator incl. Passwort eingibt, funktioniert es. Wir möchten aber einen Benutzer einrichten, der auf den Clients WMI zugriff hat, aber kein Domänenadmin ist.
Nun habe ich folgendes im Internet (www.administrator.info ) gefunden:
Zitat:
„Wer seinen WMI-Benutzer nicht gleich mit allmächtigen Domainadmin-Rechten ausstatten möchte, kann einen Domänenuser anlegen, und diesem dann auf allen Rechnern die lokalen Gruppenzugehörigkeiten HAUPTBENUTZER und Distributed COM Benutzer einrichten. Das Kann entweder manuell auf jedem Rechner erfolgen, oder auch per Gruppenrichtlinie vom DC aus geschehen. Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Willst Du auch Methoden verschiedener WMI-Klassen ausführen, dann muss auch bei Methoden ausführen ein Häkchen gemacht werden.
So, das ist die relativ komplizierte, jedoch sehr viel sicherere Variante, das ganze zu konfigurieren. Viel Schweiß und Tränen hat diese Erkenntnis verursacht!
Zitat Ende“
Meine Fragen:
1: Wie kann ich über GPO’s oder Scripting einen User anlegen, der die Berechtigung auf den Clients zum ausführen von WMI hat? Finde diesbezüglich nichts im Internet.
2: das einrichten des WMI Zugriffs muss zentral und auch per GPO oder script erfogen. Jeden PC mit dem „wmimgmt.msc“ einzurichten ist zu aufwendig
Bin über jeden tipp dankbar!
thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 98575
Url: https://administrator.de/forum/lokalen-benutzer-ueber-ad-zentral-anlegen-98575.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
7 Kommentare
Neuester Kommentar
Also ich würde mal vorschlagen eine Gruppe im AD anzulegen, "Gruppe Setup" und dort einen oder mehrere Benutzer, "Setup" und "Analyse" anzulegen. Die Gruppe Setup auf den Arbeitsplatzcomputern als lokale Admins hinzufügen. Die Gruppe Setup wird aber eben nicht zu den Domain Admins hinzugefügt.
Hilft dir das?
Gruß Rafiki
Hilft dir das?
Gruß Rafiki
Zitat von @thhaeger:
danke für deine Antwort. Leider hilft mir das nicht weiter, da
diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird.
danke für deine Antwort. Leider hilft mir das nicht weiter, da
diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird.
Warum, per GPO kannst du die Gruppe zentral hinzufügen - Stichwort 'eingeschränkte Gruppen'.
Grüße, Steffen
Hallo Thom,
die Gruppe der lokalen Admins kann das ohne weiteres. Scripting ist dazu nicht notwendig.
Grüße, Steffen
die Gruppe der lokalen Admins kann das ohne weiteres. Scripting ist dazu nicht notwendig.
Grüße, Steffen