thhaeger
Goto Top

lokalen Benutzer über AD zentral anlegen

Hallo,

habe folgendes Anliegen.

In einer Domäne (Windows2003 Server mit Win XP Clients) möchten wir ein Netzwerk-Analyseprogramm einrichten. Dieses Programm benutzt unter anderem WMI. Wenn man nun den Administrator incl. Passwort eingibt, funktioniert es. Wir möchten aber einen Benutzer einrichten, der auf den Clients WMI zugriff hat, aber kein Domänenadmin ist.

Nun habe ich folgendes im Internet (www.administrator.info ) gefunden:

Zitat:

„Wer seinen WMI-Benutzer nicht gleich mit allmächtigen Domainadmin-Rechten ausstatten möchte, kann einen Domänenuser anlegen, und diesem dann auf allen Rechnern die lokalen Gruppenzugehörigkeiten HAUPTBENUTZER und Distributed COM Benutzer einrichten. Das Kann entweder manuell auf jedem Rechner erfolgen, oder auch per Gruppenrichtlinie vom DC aus geschehen. Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.
Willst Du auch Methoden verschiedener WMI-Klassen ausführen, dann muss auch bei Methoden ausführen ein Häkchen gemacht werden.

So, das ist die relativ komplizierte, jedoch sehr viel sicherere Variante, das ganze zu konfigurieren. Viel Schweiß und Tränen hat diese Erkenntnis verursacht!

Zitat Ende“

Meine Fragen:

1: Wie kann ich über GPO’s oder Scripting einen User anlegen, der die Berechtigung auf den Clients zum ausführen von WMI hat? Finde diesbezüglich nichts im Internet.

2: das einrichten des WMI Zugriffs muss zentral und auch per GPO oder script erfogen. Jeden PC mit dem „wmimgmt.msc“ einzurichten ist zu aufwendig

Bin über jeden tipp dankbar!

thomas

Content-ID: 98575

Url: https://administrator.de/forum/lokalen-benutzer-ueber-ad-zentral-anlegen-98575.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

Rafiki
Rafiki 06.10.2008 um 20:02:19 Uhr
Goto Top
Also ich würde mal vorschlagen eine Gruppe im AD anzulegen, "Gruppe Setup" und dort einen oder mehrere Benutzer, "Setup" und "Analyse" anzulegen. Die Gruppe Setup auf den Arbeitsplatzcomputern als lokale Admins hinzufügen. Die Gruppe Setup wird aber eben nicht zu den Domain Admins hinzugefügt.

Hilft dir das?

Gruß Rafiki
thhaeger
thhaeger 06.10.2008 um 20:09:33 Uhr
Goto Top
Hallo rafiki,

danke für deine Antwort. Leider hilft mir das nicht weiter, da diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird. Ich möchte ja nicht vor jedem einzelnen Rechner sitzen und immer wieder die gleichen lokalen Einsatellungen amchen müssen. Außerdem muus ja der benutzer der lokalem haupbenutzer zugefügt werden, so dass diesewr ja auch die nötigen Berechtigungen für WMi bekommt.

Gruß
Thom
51705
51705 06.10.2008 um 20:29:12 Uhr
Goto Top
Zitat von @thhaeger:
danke für deine Antwort. Leider hilft mir das nicht weiter, da
diese Gruppe ja nicht zentral auf dem Client hinzugefügt wird.

Warum, per GPO kannst du die Gruppe zentral hinzufügen - Stichwort 'eingeschränkte Gruppen'.

Grüße, Steffen
thhaeger
thhaeger 06.10.2008 um 20:41:23 Uhr
Goto Top
Hi Steffen,

danke, das Stichwort hat mir gefehlt.

Jetzt fehlt mir nur noch der Weg wie man der gruppe zentral die Berechtigungen für WMI auf jeden PC einrichtet.

Zitat:
Dann muss diesem User auf den zu überwachenden Rechnern noch gestattet werden, auf die WMI zuzugriefen start --> ausführen --> wmimgmt.msc --> WMI-Steuerung --> Eigenschaften --> Sicherheit --> Root anklicken --> Button Sicherheit klicken --> Hinzufügen. Danach dem User folgende Berechtigungen erteilen: Konto aktivieren, Remoteaktivierung.

Denke, das muss man scripten oder?

Gruß
Thom
51705
51705 06.10.2008 um 21:34:33 Uhr
Goto Top
Hallo Thom,

die Gruppe der lokalen Admins kann das ohne weiteres. Scripting ist dazu nicht notwendig.

Grüße, Steffen
thhaeger
thhaeger 07.10.2008 um 08:08:54 Uhr
Goto Top
Hi Steffen,
danke, ich werd es jetzt mal testen und mich dann wieder melden.

Gruß
Thom
thhaeger
thhaeger 07.10.2008 um 13:48:24 Uhr
Goto Top
Hi,

habe jetzt die test durchgeführt.

Die Verteilung klappt face-smile

Die WMI Abfrage als Admin auch.

Leider klappt die Abfrage nicht als Hauptbenutzer, wie am Anfang geschrieben.

Hat jemand eine Idee? Möchte dem neu eingerichteten User bzw. gruppe nur die nötigsten Rechte für WMi geben.

gruß
Thom