maxwell53
Goto Top

Server 2008 Co-Admin einrichten für Installaltion an XP-Clients

Hallo,
ich habe leider zu wenig mit den Einstellungen der Gruppennrichtlinien AD auf dem Server 2008 zu tun und möchte keinen Schaden anrichten.
Vor einiger Zeit war das Problem garnicht vorhanden war und der Praktikant konnte die Installationen auf den XP-Clients durchführen.
Es kann sein, dass bei der Serverumstellung Einstellungen geändert worden sind?

so jetzt zum Thema:

ich habe einen Praktikanten, dem es möglich sein soll Installationen auf den xp-clients durchzuführen.

Dafür wurde (von wem auch immer?) auf dem Server 2008 im AD unter "Administrative Rechte" loc-lokale-Adminrechte angelegt, damit er auf Clients-PC installieren kann.
Unter den "Administrativen Rechten " ist noch ein Ordner "Administrative Benutzer" wo ein Benutzer "Praktikant" angelegt wurde.

Andere Rechte wie Zugriff auf Server- und administrative Ordner sollen nicht erfolgen.

Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen. Der Benutzer, welcher installieren soll ist unter Anderem auch ein Mitarbeiter bzw.Domänen Benutzer.

Ich habe den Benutzer hin und her verschoben und es erscheint beim Installieren die Meldung, dass admin.Rechte erforderlich sind.

Wo kann man im AD die einzelnen Berechtigung für die Gruppen setzen? Hab's leider vergessen.

Das Dumme ist,es hatte vor längerer Zeit schon einmal unter dem Account "Praktikant" funktioniert und jemand hat da Hand angelegt.

Vielen Dank

Content-ID: 166345

Url: https://administrator.de/forum/server-2008-co-admin-einrichten-fuer-installaltion-an-xp-clients-166345.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

DerWoWusste
DerWoWusste 16.05.2011 um 15:01:36 Uhr
Goto Top
Moin.
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen.
Das geht nicht mit Bordmitteln. Man kann nur pauschal allen Installationen ermöglichen, aber nicht Einzelnen.
Du kannst höchstens dies hier dazu kaufen und verwenden: http://www.beyondtrust.com/PowerBroker-Desktops-Windows-Edition.aspx?se ...
goscho
goscho 16.05.2011 um 15:16:55 Uhr
Goto Top
Hi Leute,

wenn der Praktikant auf den Client-PCs lokaler Admin werden soll, kann man diese doch über 'eingeschränkte Gruppen' erreichen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
danielmuc
danielmuc 16.05.2011 um 15:34:29 Uhr
Goto Top
Hallo Maxwell,

darf ich nochmal kurz nachhaken. Geht es um die Betriebssysteminstallation ? lokaler Admin oder darum Computer Konten in der Domain anzulegen / Clients in die Domain aufzunehmen ?
Bei letzteren würde ich die Option "Erstellen und löschen der Objekte Computer" auf die OU Computers in deiner AD Struktur für den User vergeben. Bzw. macht es sich auch immer gut für die Aufgabe eine Gruppe anzulegen und dieser dann das Recht für die Computer Objekte zu delegieren.

AD-User&Computers rechtklick auf die OU-> Sicherheit hinzufügen... Vererbung der Rechte funktioniert ähnlih wie NTFS

Greatz Daniel.
Maxwell53
Maxwell53 16.05.2011 um 18:15:04 Uhr
Goto Top
Hallo,

den Beitrag von goscho habe ich schon gelesen und der link auf die Seite der Gruppenrichtlinien ist prima. Aber wie gesagt, ich bin da ziemlich vorsichtig.

So jetzt zum Thema:

Das Erstellen von Objekten,usern,Computern und Einbinden von Peripherie ,sowie Installation Betriebssysteme mache ich alles selbst. Das ist alles in Ordnung.

Der Mitarbeiter soll mir zur Hilfe an der Seite stehen und auf den PC's der Mitarbeiter Anwendungen installieren dürfen oder Treiber. Ich brauche mich nur remote oder am PC des Anwenders anmelden und da gibt es als Domailn-Admin keine Probleme.
Diese Admin-Rechte möchte ich aber nicht meinem Hifs-Admin übertragen, da er nicht Zugriff auf die Verwaltungsebene oder Serverstruktur haben soll. Ansonsten könnte ich ihn unter dem Administratorkonto einpflegen und die Sache wäre erledigt.
Er hat dazu nicht die entsprechenden Vorraussetzung und dann muss ich die Suppe wieder auslöffeln.
DerWoWusste
DerWoWusste 16.05.2011 um 22:16:20 Uhr
Goto Top
Maxwell, Du solltest auf alle Kommentare eingehen [zB. auf meinen ; ) ], sonst dümpelt die Sache nur vor sich hin.
Du schriebst, Du hättest es mal gelöst gehabt - ich versichere Dir: es ist nicht möglich mit den in Windows eingebauten Mitteln. Schau Dir mal die genannte Software an, mit der geht das tatsächlich. Zum Test auch kostenfrei, nur das Deployment netzwerkweit mit GPOs kostet was.

Vermutlich hast Du restricted groups (wie Dir im Tipp von Goscho genannt) selbst mal genutzt, das ist der einzige Weg, zumindest Adminrechte gemütlich überall (auf den Workstations, niocht auf den Servern) an bestimte Personen zu vergeben.
danielmuc
danielmuc 17.05.2011 um 10:37:32 Uhr
Goto Top
Hi Maxwell,

restricted Groups sind gut aber bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden mit den Settings die du in der GPO via restricted Groups spezifizierst.

Finde deine Überschrift und die Beschreibung im Nachinein etwas Unglücklich:

Server 2008 .... da denke ich als AD Admin erstmal an deligierte Administration im AD face-smile

btw. die GPO musst du so aufhängen das die Clients diese auch ziehen, weil restricted Groups ein Maschinen Setting sind.
Am besten mit gpresult auf den Clients Überprüfen ob die Policy localadmin auch gezogen wurde.

Greatz Daniel.
DerWoWusste
DerWoWusste 17.05.2011 um 11:18:52 Uhr
Goto Top
@Daniel:
bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden
Nö. Kommt ganz darauf an, wie man es macht. Ich zitiere mal experts exchange (eine MVP-Dame):
--
You can deploy Restricted Groups in either an additive or a destructive fashion:

•Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

•Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
--
->additive!
danielmuc
danielmuc 17.05.2011 um 11:28:53 Uhr
Goto Top
Hi

das geht dann aber erst ab 2008 oder ?

Daniel.

p.s. hab heute meinen destruktiven TAG ...
DerWoWusste
DerWoWusste 17.05.2011 um 11:31:26 Uhr
Goto Top
...und ich meinen additiven face-smile
Nee, geht schon seit win2k.