5
Profil in der ADS lässt sich keine Admin Rechte zuweisen (primäre gruppe)
Hallo ich habe folgendes Problem: Ich habe auf einem Win 2000 Server den ADS laufen. Dort sind einiger Benutzer agelegt. Jetzt wollte ich jedoch einem dieser Benutzer Admin Rechte zuweisen. Also habe ich ihn der Gruppe der Administratoren hinzugefügt. Jetzt ist er jedoch Mitglied in "Administratoren" und "Domänen-Benutzer". Die Mitgleidschaft bei "Domänen-Benutzer" lässt sich jedoch nicht löschen.
Fehlermeldung:
"Die primäre Gruppe lässt sich nicht entfernen, Sie müssen zuerst eine andere primäre Gruppe festlegen. "
Allerdings ist der untenstehende Button für "Primäre Gruppe" deaktiviert.
Was kann hier das Problem sein?
MFG
Werner
Fehlermeldung:
"Die primäre Gruppe lässt sich nicht entfernen, Sie müssen zuerst eine andere primäre Gruppe festlegen. "
Allerdings ist der untenstehende Button für "Primäre Gruppe" deaktiviert.
Was kann hier das Problem sein?
MFG
Werner
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81817
Url: https://administrator.de/contentid/81817
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Persönlich habe ich einen Win 2k3 Server in Betrieb und hatte diese Fehlermeldung auch noch nie.
Ich kann also nur spekulieren.
Ich glaube die Administratoren Gruppe kann nicht als Primäre Gruppe festgelegt werden (Bin mir aber nicht 100% sicher).
Warum willst du das überhaupt. Er kann ja ohne Probleme Mitglied in der "Administratoren" Gruppe und in der "Domäne-Benutzer" Gruppe sein.
Ich kann also nur spekulieren.
Ich glaube die Administratoren Gruppe kann nicht als Primäre Gruppe festgelegt werden (Bin mir aber nicht 100% sicher).
Warum willst du das überhaupt. Er kann ja ohne Probleme Mitglied in der "Administratoren" Gruppe und in der "Domäne-Benutzer" Gruppe sein.
danke für die Antwort,
allerdings besteht das Problem darin, dass er in beiden Gruppen ist. Denn er hat keine Administrationsrechte an dem PC an dem ich mich mit ihm anmelde. (Ganz einfacher Test indem ich auf die Uhrzeit klicke.)
gruß werner
allerdings besteht das Problem darin, dass er in beiden Gruppen ist. Denn er hat keine Administrationsrechte an dem PC an dem ich mich mit ihm anmelde. (Ganz einfacher Test indem ich auf die Uhrzeit klicke.)
gruß werner
Ich würde den Benutzer in die lokale Administratoren Gruppe stellen (auf dem PC)
Systemsteuerung->Verwaltung->Computerverwaltung->
System->Lokale Beuntzer und Gruppen->Gruppen
Dann den Benutzer in die lokale Administratoren Gruppe aufnehmen.
Anschl. kannst du ihn dann auch aus der AD Administratoren Gruppe nehmen.
Wenn dann keine Policy dazwischen funkt sollte er alle Möglichkeiten am PC haben.
Gruß Dreadnik
Systemsteuerung->Verwaltung->Computerverwaltung->
System->Lokale Beuntzer und Gruppen->Gruppen
Dann den Benutzer in die lokale Administratoren Gruppe aufnehmen.
Anschl. kannst du ihn dann auch aus der AD Administratoren Gruppe nehmen.
Wenn dann keine Policy dazwischen funkt sollte er alle Möglichkeiten am PC haben.
Gruß Dreadnik
Moin,
ist ein wenig "tricky": Ich tippe mal drauf, daß Du Deinen Usern per GPO die Möglichkeit, die Uhrzeit zu ändern, weggenommen hast. Dein User ist jetzt zwar "Administrator", aber immer noch "Domänen-Benutzer", und als Domänen-Benutzer ist er User mit den o.a. Einschränkungen.
Normalerweise hast Du im AD bei W2K-Server ja die Möglichkeit, eigene Einteilungen vorzunehmen. Also lege bitte mal eine Organisationseinheit "Admins@Firma" an und schieb den Domänen-Admin, die lokalen Admins (soweit vorhanden) und den besagten User in diese OU. Standardmäßig hat diese OU keine GPO-Richtlinie. Also nimm die "Default Domain Policy" und modifizier diese so, daß die Berechtigungen erteilt werden, die die Mitglieder dieser OU haben sollen.
Ich gehe mal davon aus, daß Du die User in eine eigene OU gepackt hast, auf die eine GPO angewendet wird. Dann wäre soweit alles ok. Ansonsten mußt Du Dir halt überlegen, wie Du "normale" User und User "mit Sonderberechtigung" trennen willst/kannst.
Gruß J
chem
ist ein wenig "tricky": Ich tippe mal drauf, daß Du Deinen Usern per GPO die Möglichkeit, die Uhrzeit zu ändern, weggenommen hast. Dein User ist jetzt zwar "Administrator", aber immer noch "Domänen-Benutzer", und als Domänen-Benutzer ist er User mit den o.a. Einschränkungen.
Normalerweise hast Du im AD bei W2K-Server ja die Möglichkeit, eigene Einteilungen vorzunehmen. Also lege bitte mal eine Organisationseinheit "Admins@Firma" an und schieb den Domänen-Admin, die lokalen Admins (soweit vorhanden) und den besagten User in diese OU. Standardmäßig hat diese OU keine GPO-Richtlinie. Also nimm die "Default Domain Policy" und modifizier diese so, daß die Berechtigungen erteilt werden, die die Mitglieder dieser OU haben sollen.
Ich gehe mal davon aus, daß Du die User in eine eigene OU gepackt hast, auf die eine GPO angewendet wird. Dann wäre soweit alles ok. Ansonsten mußt Du Dir halt überlegen, wie Du "normale" User und User "mit Sonderberechtigung" trennen willst/kannst.
Gruß J
chem
Ja was möchtest du denn genau erreichen??
Dich lokal als Administrator anzumelden, ist es am einfachsten dich auch lokal anzumelden.
Gruss
scan5416
Dich lokal als Administrator anzumelden, ist es am einfachsten dich auch lokal anzumelden.
Gruss
scan5416
