Server 2008 Co-Admin einrichten für Installaltion an XP-Clients
Hallo,
ich habe leider zu wenig mit den Einstellungen der Gruppennrichtlinien AD auf dem Server 2008 zu tun und möchte keinen Schaden anrichten.
Vor einiger Zeit war das Problem garnicht vorhanden war und der Praktikant konnte die Installationen auf den XP-Clients durchführen.
Es kann sein, dass bei der Serverumstellung Einstellungen geändert worden sind?
so jetzt zum Thema:
ich habe einen Praktikanten, dem es möglich sein soll Installationen auf den xp-clients durchzuführen.
Dafür wurde (von wem auch immer?) auf dem Server 2008 im AD unter "Administrative Rechte" loc-lokale-Adminrechte angelegt, damit er auf Clients-PC installieren kann.
Unter den "Administrativen Rechten " ist noch ein Ordner "Administrative Benutzer" wo ein Benutzer "Praktikant" angelegt wurde.
Andere Rechte wie Zugriff auf Server- und administrative Ordner sollen nicht erfolgen.
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen. Der Benutzer, welcher installieren soll ist unter Anderem auch ein Mitarbeiter bzw.Domänen Benutzer.
Ich habe den Benutzer hin und her verschoben und es erscheint beim Installieren die Meldung, dass admin.Rechte erforderlich sind.
Wo kann man im AD die einzelnen Berechtigung für die Gruppen setzen? Hab's leider vergessen.
Das Dumme ist,es hatte vor längerer Zeit schon einmal unter dem Account "Praktikant" funktioniert und jemand hat da Hand angelegt.
Vielen Dank
ich habe leider zu wenig mit den Einstellungen der Gruppennrichtlinien AD auf dem Server 2008 zu tun und möchte keinen Schaden anrichten.
Vor einiger Zeit war das Problem garnicht vorhanden war und der Praktikant konnte die Installationen auf den XP-Clients durchführen.
Es kann sein, dass bei der Serverumstellung Einstellungen geändert worden sind?
so jetzt zum Thema:
ich habe einen Praktikanten, dem es möglich sein soll Installationen auf den xp-clients durchzuführen.
Dafür wurde (von wem auch immer?) auf dem Server 2008 im AD unter "Administrative Rechte" loc-lokale-Adminrechte angelegt, damit er auf Clients-PC installieren kann.
Unter den "Administrativen Rechten " ist noch ein Ordner "Administrative Benutzer" wo ein Benutzer "Praktikant" angelegt wurde.
Andere Rechte wie Zugriff auf Server- und administrative Ordner sollen nicht erfolgen.
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen. Der Benutzer, welcher installieren soll ist unter Anderem auch ein Mitarbeiter bzw.Domänen Benutzer.
Ich habe den Benutzer hin und her verschoben und es erscheint beim Installieren die Meldung, dass admin.Rechte erforderlich sind.
Wo kann man im AD die einzelnen Berechtigung für die Gruppen setzen? Hab's leider vergessen.
Das Dumme ist,es hatte vor längerer Zeit schon einmal unter dem Account "Praktikant" funktioniert und jemand hat da Hand angelegt.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 166345
Url: https://administrator.de/forum/server-2008-co-admin-einrichten-fuer-installaltion-an-xp-clients-166345.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
9 Kommentare
Neuester Kommentar
Moin.
Du kannst höchstens dies hier dazu kaufen und verwenden: http://www.beyondtrust.com/PowerBroker-Desktops-Windows-Edition.aspx?se ...
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen.
Das geht nicht mit Bordmitteln. Man kann nur pauschal allen Installationen ermöglichen, aber nicht Einzelnen.Du kannst höchstens dies hier dazu kaufen und verwenden: http://www.beyondtrust.com/PowerBroker-Desktops-Windows-Edition.aspx?se ...
Hi Leute,
wenn der Praktikant auf den Client-PCs lokaler Admin werden soll, kann man diese doch über 'eingeschränkte Gruppen' erreichen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
wenn der Praktikant auf den Client-PCs lokaler Admin werden soll, kann man diese doch über 'eingeschränkte Gruppen' erreichen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Hallo Maxwell,
darf ich nochmal kurz nachhaken. Geht es um die Betriebssysteminstallation ? lokaler Admin oder darum Computer Konten in der Domain anzulegen / Clients in die Domain aufzunehmen ?
Bei letzteren würde ich die Option "Erstellen und löschen der Objekte Computer" auf die OU Computers in deiner AD Struktur für den User vergeben. Bzw. macht es sich auch immer gut für die Aufgabe eine Gruppe anzulegen und dieser dann das Recht für die Computer Objekte zu delegieren.
AD-User&Computers rechtklick auf die OU-> Sicherheit hinzufügen... Vererbung der Rechte funktioniert ähnlih wie NTFS
Greatz Daniel.
darf ich nochmal kurz nachhaken. Geht es um die Betriebssysteminstallation ? lokaler Admin oder darum Computer Konten in der Domain anzulegen / Clients in die Domain aufzunehmen ?
Bei letzteren würde ich die Option "Erstellen und löschen der Objekte Computer" auf die OU Computers in deiner AD Struktur für den User vergeben. Bzw. macht es sich auch immer gut für die Aufgabe eine Gruppe anzulegen und dieser dann das Recht für die Computer Objekte zu delegieren.
AD-User&Computers rechtklick auf die OU-> Sicherheit hinzufügen... Vererbung der Rechte funktioniert ähnlih wie NTFS
Greatz Daniel.
Maxwell, Du solltest auf alle Kommentare eingehen [zB. auf meinen ; ) ], sonst dümpelt die Sache nur vor sich hin.
Du schriebst, Du hättest es mal gelöst gehabt - ich versichere Dir: es ist nicht möglich mit den in Windows eingebauten Mitteln. Schau Dir mal die genannte Software an, mit der geht das tatsächlich. Zum Test auch kostenfrei, nur das Deployment netzwerkweit mit GPOs kostet was.
Vermutlich hast Du restricted groups (wie Dir im Tipp von Goscho genannt) selbst mal genutzt, das ist der einzige Weg, zumindest Adminrechte gemütlich überall (auf den Workstations, niocht auf den Servern) an bestimte Personen zu vergeben.
Du schriebst, Du hättest es mal gelöst gehabt - ich versichere Dir: es ist nicht möglich mit den in Windows eingebauten Mitteln. Schau Dir mal die genannte Software an, mit der geht das tatsächlich. Zum Test auch kostenfrei, nur das Deployment netzwerkweit mit GPOs kostet was.
Vermutlich hast Du restricted groups (wie Dir im Tipp von Goscho genannt) selbst mal genutzt, das ist der einzige Weg, zumindest Adminrechte gemütlich überall (auf den Workstations, niocht auf den Servern) an bestimte Personen zu vergeben.
Hi Maxwell,
restricted Groups sind gut aber bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden mit den Settings die du in der GPO via restricted Groups spezifizierst.
Finde deine Überschrift und die Beschreibung im Nachinein etwas Unglücklich:
Server 2008 .... da denke ich als AD Admin erstmal an deligierte Administration im AD
btw. die GPO musst du so aufhängen das die Clients diese auch ziehen, weil restricted Groups ein Maschinen Setting sind.
Am besten mit gpresult auf den Clients Überprüfen ob die Policy localadmin auch gezogen wurde.
Greatz Daniel.
restricted Groups sind gut aber bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden mit den Settings die du in der GPO via restricted Groups spezifizierst.
Finde deine Überschrift und die Beschreibung im Nachinein etwas Unglücklich:
Server 2008 .... da denke ich als AD Admin erstmal an deligierte Administration im AD
btw. die GPO musst du so aufhängen das die Clients diese auch ziehen, weil restricted Groups ein Maschinen Setting sind.
Am besten mit gpresult auf den Clients Überprüfen ob die Policy localadmin auch gezogen wurde.
Greatz Daniel.
@Daniel:
--
You can deploy Restricted Groups in either an additive or a destructive fashion:
•Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
•Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
--
->additive!
bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden
Nö. Kommt ganz darauf an, wie man es macht. Ich zitiere mal experts exchange (eine MVP-Dame):--
You can deploy Restricted Groups in either an additive or a destructive fashion:
•Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
•Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
--
->additive!