5
User mit servergespeicherten Profil Anmeldung an einem anderen PC mit gleichen Rechten
Folgender Fall.
Wir nutzen in der Fa. servergespeicherte Profile, da einige Mitarbeiter auch mal an anderen PC's arbeiten müssen.
Klappt auch alles sehr gut, bis auf den Fall, dass der User ein Programm nutzen muss, was Adminrechte hat.
Dieses startet natürlich nicht, da der User ja nicht an dem PC "registriert" ist, sondern nur angeldet.
Im Moment muss ich den User an dem PC erst über die Benutzerverwaltung hinzufügen (Adminrechte) und dann gehts.
Wenn der User aber wieder an einem anderen PC sitzt, fängt der Mist wieder von vorne an.
Klar, man sollte den Usern keine Adminrechte geben aber das Programm verlangt danach. Leider
Wie wäre in dem Fall der beste Weg, dass jeder User, an jedem PC diese Programm mit Adminrechten starten kann, ohne das ich jedesmal manuell den User anlegen muss?
Wir nutzen in der Fa. servergespeicherte Profile, da einige Mitarbeiter auch mal an anderen PC's arbeiten müssen.
Klappt auch alles sehr gut, bis auf den Fall, dass der User ein Programm nutzen muss, was Adminrechte hat.
Dieses startet natürlich nicht, da der User ja nicht an dem PC "registriert" ist, sondern nur angeldet.
Im Moment muss ich den User an dem PC erst über die Benutzerverwaltung hinzufügen (Adminrechte) und dann gehts.
Wenn der User aber wieder an einem anderen PC sitzt, fängt der Mist wieder von vorne an.
Klar, man sollte den Usern keine Adminrechte geben aber das Programm verlangt danach. Leider
Wie wäre in dem Fall der beste Weg, dass jeder User, an jedem PC diese Programm mit Adminrechten starten kann, ohne das ich jedesmal manuell den User anlegen muss?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145984
Url: https://administrator.de/contentid/145984
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
5 Kommentare
Neuester Kommentar
aber das Programm verlangt danach.
Ich weiß nicht, ob das so selbstverständlich ist.Etwas zu Deinem Fall zu sagen, fällt mir schwer, da Du wenig bis gar nichts über Deine Umgebung schreibst.
Domäne? Anzahl der Clients? OS?
Wie wäre in dem Fall der beste Weg, dass jeder User, an jedem PC diese Programm mit Adminrechten starten kann, ohne das ich jedesmal manuell den User anlegen muss
Grundsätzlich würde ich erst einmal antworten1. Hersteller nötigen, die entsprechende Informationen herauszurücken, welche Rechte wirklich benötigt werden
2. Alternative zum Programm suchen, die die gestellten Anforderungen erfüllt
3. erweitere Rechte stellen wir über Gruppen zur Verfügung.
4. "Verteilung" an Clients über GPO
Markus
Sehe ich genauso. Die Softwarehersteller können ja nicht verlangen, das ein User in einer Domäne lokale Admin-Rechte bekommt. Wie stehen auch ständig im Konflikt mit div. Software-Häusern, da viele Fehler daher rühren, das ein User keine Admin-Rechte hat. Nur im größten Notfall würde ich dazu gehen dem User über eine Gruppe die über die GPO verteilt wird an den PCs lokale Admin-Rechte einzuräumen. Kontaktier aber wirklich besser nochmal das Software-Haus.
mfg
micha
mfg
micha
Wie meine vorgänger schon schreiben:
Finde am besten erst mal heraus WARUM deine Benutzer unbedingt adminrechte brauchen.
Vielleicht geht es nur um den Zugriff zu einem bestimmten Pfad.
Du kannst natürlich auch allen Benutzern Domain-admin rechte geben, dann brauchst du sie nicht mehr lokal hinzuzufügen
Ich würde es in deinem Fall so machen:
Eine AD Benutzergruppe erstellen mit den benutzern die überall lokale adminrechte haben sollen.
Danach kannst du mit
Diese AD Gruppe der lokalen Gruppe Administratoren zuweisen.
Das einzige Problem ist dass du diesen NET Befehl als Administrator ausführen musst.
deshalb brauchst du dazu ein tool
http://www.joeware.net/freetools/tools/cpau/index.htm
Das als logonscript sollte dein Problem lösen.
Finde am besten erst mal heraus WARUM deine Benutzer unbedingt adminrechte brauchen.
Vielleicht geht es nur um den Zugriff zu einem bestimmten Pfad.
Du kannst natürlich auch allen Benutzern Domain-admin rechte geben, dann brauchst du sie nicht mehr lokal hinzuzufügen
Ich würde es in deinem Fall so machen:
Eine AD Benutzergruppe erstellen mit den benutzern die überall lokale adminrechte haben sollen.
Danach kannst du mit
NET Localgroup administratoren domäne\admingruppe /addDas einzige Problem ist dass du diesen NET Befehl als Administrator ausführen musst.
deshalb brauchst du dazu ein tool
http://www.joeware.net/freetools/tools/cpau/index.htm
CPAU -u domain\admin -p password -ex "NET localgroup administratoren domäne\admingruppe /add" Das als logonscript sollte dein Problem lösen.
Kennwörter im Klartext sind (zumindest bei uns) gar nicht gern gesehen. Wenn es also in Deinem Fall wirklich keine andere Lösung geben sollte, empfehle ich Dir dringend, den Aufruf noch zu "verpacken".
Ich kenne KixTart (gibt sicherlich noch andere). Kixtart gibt Dir die Möglichkeit, das Script für das menschliche Auge unleserlich zu machen (Parameter /T).
Das Script selbst wäre dann ein Einzeiler, etwa so
run 'cmd.exe /c CPAU -u domain\admin -p password -ex "NET localgroup administratoren domäne\admingruppe /add"' Markus
Danke für eure Vorschläge.
Es ist so, dass wir ein Schriften Programm haben, welches einfach Adminrechte haben will, wenn man eine Schrift installieren möchte.
Ich denke aber, dass es wohl die einfache Methode ist, über eine GPO / Eingeschränkte Gruppen, die Domänuser in die Admingruppe (Lokal) zu nehmen.
Klar, da muss ich aufpassen, dass ich den Admin auch mit reinnehme, da die GPO die Lokalen Benutzerkonteneinstellungen überschreibt - aber wie gesagt, das ist wohl die einfache methode um 50 Rechner auf einmal "umzustellen"?
Es ist so, dass wir ein Schriften Programm haben, welches einfach Adminrechte haben will, wenn man eine Schrift installieren möchte.
Ich denke aber, dass es wohl die einfache Methode ist, über eine GPO / Eingeschränkte Gruppen, die Domänuser in die Admingruppe (Lokal) zu nehmen.
Klar, da muss ich aufpassen, dass ich den Admin auch mit reinnehme, da die GPO die Lokalen Benutzerkonteneinstellungen überschreibt - aber wie gesagt, das ist wohl die einfache methode um 50 Rechner auf einmal "umzustellen"?
