marcelhu
Goto Top

User mit servergespeicherten Profil Anmeldung an einem anderen PC mit gleichen Rechten

Folgender Fall.
Wir nutzen in der Fa. servergespeicherte Profile, da einige Mitarbeiter auch mal an anderen PC's arbeiten müssen.
Klappt auch alles sehr gut, bis auf den Fall, dass der User ein Programm nutzen muss, was Adminrechte hat.
Dieses startet natürlich nicht, da der User ja nicht an dem PC "registriert" ist, sondern nur angeldet.
Im Moment muss ich den User an dem PC erst über die Benutzerverwaltung hinzufügen (Adminrechte) und dann gehts.
Wenn der User aber wieder an einem anderen PC sitzt, fängt der Mist wieder von vorne an.

Klar, man sollte den Usern keine Adminrechte geben aber das Programm verlangt danach. Leider

Wie wäre in dem Fall der beste Weg, dass jeder User, an jedem PC diese Programm mit Adminrechten starten kann, ohne das ich jedesmal manuell den User anlegen muss?

Content-ID: 145984

Url: https://administrator.de/forum/user-mit-servergespeicherten-profil-anmeldung-an-einem-anderen-pc-mit-gleichen-rechten-145984.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

BigWim
BigWim 30.06.2010 um 14:00:17 Uhr
Goto Top
aber das Programm verlangt danach.
Ich weiß nicht, ob das so selbstverständlich ist.

Etwas zu Deinem Fall zu sagen, fällt mir schwer, da Du wenig bis gar nichts über Deine Umgebung schreibst.
Domäne? Anzahl der Clients? OS?

Wie wäre in dem Fall der beste Weg, dass jeder User, an jedem PC diese Programm mit Adminrechten starten kann, ohne das ich jedesmal manuell den User anlegen muss
Grundsätzlich würde ich erst einmal antworten

1. Hersteller nötigen, die entsprechende Informationen herauszurücken, welche Rechte wirklich benötigt werden
2. Alternative zum Programm suchen, die die gestellten Anforderungen erfüllt
3. erweitere Rechte stellen wir über Gruppen zur Verfügung.
4. "Verteilung" an Clients über GPO

Markus
Lance84
Lance84 30.06.2010 um 14:25:15 Uhr
Goto Top
Sehe ich genauso. Die Softwarehersteller können ja nicht verlangen, das ein User in einer Domäne lokale Admin-Rechte bekommt. Wie stehen auch ständig im Konflikt mit div. Software-Häusern, da viele Fehler daher rühren, das ein User keine Admin-Rechte hat. Nur im größten Notfall würde ich dazu gehen dem User über eine Gruppe die über die GPO verteilt wird an den PCs lokale Admin-Rechte einzuräumen. Kontaktier aber wirklich besser nochmal das Software-Haus.
mfg

micha
sniffnase
sniffnase 30.06.2010 um 15:43:57 Uhr
Goto Top
Wie meine vorgänger schon schreiben:
Finde am besten erst mal heraus WARUM deine Benutzer unbedingt adminrechte brauchen.
Vielleicht geht es nur um den Zugriff zu einem bestimmten Pfad.

Du kannst natürlich auch allen Benutzern Domain-admin rechte geben, dann brauchst du sie nicht mehr lokal hinzuzufügen face-smile

Ich würde es in deinem Fall so machen:

Eine AD Benutzergruppe erstellen mit den benutzern die überall lokale adminrechte haben sollen.
Danach kannst du mit
NET Localgroup administratoren domäne\admingruppe /add
Diese AD Gruppe der lokalen Gruppe Administratoren zuweisen.
Das einzige Problem ist dass du diesen NET Befehl als Administrator ausführen musst.

deshalb brauchst du dazu ein tool
http://www.joeware.net/freetools/tools/cpau/index.htm

CPAU -u domain\admin -p password -ex "NET localgroup administratoren domäne\admingruppe /add"  

Das als logonscript sollte dein Problem lösen.
BigWim
BigWim 01.07.2010 um 08:21:13 Uhr
Goto Top
Zitat von @sniffnase:
Das als logonscript sollte dein Problem lösen.

Kennwörter im Klartext sind (zumindest bei uns) gar nicht gern gesehen. Wenn es also in Deinem Fall wirklich keine andere Lösung geben sollte, empfehle ich Dir dringend, den Aufruf noch zu "verpacken".

Ich kenne KixTart (gibt sicherlich noch andere). Kixtart gibt Dir die Möglichkeit, das Script für das menschliche Auge unleserlich zu machen (Parameter /T).
Das Script selbst wäre dann ein Einzeiler, etwa so

run 'cmd.exe /c CPAU -u domain\admin -p password -ex "NET localgroup administratoren domäne\admingruppe /add"'  

Markus
MarcelHU
MarcelHU 01.07.2010 um 11:11:54 Uhr
Goto Top
Danke für eure Vorschläge.
Es ist so, dass wir ein Schriften Programm haben, welches einfach Adminrechte haben will, wenn man eine Schrift installieren möchte.

Ich denke aber, dass es wohl die einfache Methode ist, über eine GPO / Eingeschränkte Gruppen, die Domänuser in die Admingruppe (Lokal) zu nehmen.
Klar, da muss ich aufpassen, dass ich den Admin auch mit reinnehme, da die GPO die Lokalen Benutzerkonteneinstellungen überschreibt - aber wie gesagt, das ist wohl die einfache methode um 50 Rechner auf einmal "umzustellen"?