d3ns007
Goto Top

Wie kann ich einen Domain-User lokal in die Gruppe Netzwerkkonfigurations-Operatoren nehmen?

Wir haben ein Windows Server 2003 Standard und dementsprechend auch Active-Directory. Viele unserer User haben lokale Admin-Rechte. Das soll geändert werden, trotzdem müssen manche unserer User die IP ändern können. Natürlich fällt einem da gleich die lokale Gruppe Netzwerkkonfigurations-Operatoren in den Sinn.

Ich hab mich mal schlau gegoogelt und folgende Anleitung von Microsoft gefunden:

http://support.microsoft.com/kb/297938/de

Mit folgender Anweisung:

Methode 1: Wenn der Benutzer über ein Domänenkonto verfügt

1. Öffnen Sie das Microsoft Management Console (MMC)-Snap-In Active Directory-Benutzer und -Computer, das sich im Ordner Verwaltungsprogramme befindet.
2. Erweitern Sie die Domäne, in der sich das Benutzerkonto befindet, und klicken Sie anschließend auf das Element Vordefiniert.
3. Doppelklicken Sie in dem rechten Fenster auf Netzwerkkonfigurations-Operatoren.
4. Klicken Sie auf die Registerkarte Mitglieder und klicken Sie anschließend auf Hinzufügen.
5. Geben Sie den Benutzer ein, der hinzugefügt werden soll, und klicken Sie anschließend auf OK.
6. Klicken Sie auf OK, um das Eigenschaftenfenster Netzwerkkonfigurations-Operatoren zu schließen.


Das ganze hab ich gemacht und war froher Erwartung das nach einem Neustart der User in die lokale Gruppe Netzwerkkonfigurations-Operatoren aufgenommen wird.
Leider ist dem aber nicht so und ich weiß nicht warum.

=> Wenn ich den User von Hand in die lokale Gruppe nehme funktioniert alles wie gewollt!

Habt Ihr einen Ansatz oder eine Antwort?

Vielen Dank

Grüße

Content-ID: 137514

Url: https://administrator.de/contentid/137514

Ausgedruckt am: 25.11.2024 um 12:11 Uhr

DerWoWusste
DerWoWusste 05.03.2010 um 13:17:11 Uhr
Goto Top
Hi.
Hier steht exakt Deine Frage samt Lösung: http://www.experts-exchange.com/Software/Server_Software/File_Servers/A ...
Ohne Mitgliedschaft ist das jedoch schlecht, deshalb kopiere ich's mal rein.
--
Difference between AD builtin local and XP machine local Network Configuration Operators group?
Question:
All users in my organization do not have permission to change their LAN connection settings. I am trying to setup a helpdesk support account with just enough privilege to change LAN connection settings. I created and added the helpdesk support account, called ACCOUNTX, to the AD builtin Network Configuration Operators local group. Then, I logged on to a XP laptop using ACCOUNTX and tried changing the LAN settings. As soon as I clicked properties of the LAN connection, message popped up saying "you do not have sufficient privilege or permission to access or change them"

I removed ACCOUNTX from the AD Network Configuration Operators local group, then, I added ACCOUNTX to the XP laptop local Network Configuration Operators group and I was able to make change to LAN connection.

My question is, what's the difference between these two groups? I don't want to add the support account to every XP machine's Network Configuration Operators group locally. What should I do to accomplish this on domain level?

Answer:
The AD account is for use on DCs, while the local account is just that - local.

For this, we will use Restricted Groups.
Create a new AD Security Group for the Helpdesk account(s) and add in the appropriate Principals.
Open up either a new GPO attached to an OU that holds all your workstations or at the Domain level (best choice).
Under Computer Configuration>Windows Settings>Security Settings - right click Restricted Groups and select Add Group.
Click Browse.
Enter in the name of the Security group you're going to use (the AD group).
Click Check Names then OK.
On the next applet in the LOWER section, click the button for Add.
Type in the XP local group name EXACTLY as it is shown in Local Computers and Users on a workstation.
Click OK.

Your domain group should now get added to the local group on all workstations in the path of the policy.
If you linked this new policy at the domain, there is one extra step to do. In GPMC select (highlight) the new policy and select the Delegation tab. Click the Advanced tab. If the Enterprise Domain Controllers group is not listed, add it and set the permissions to Read (under Allow) and Apply Group Policy (under DENY) - this will ensure your group doesn't get added on any DCs
--

Dein Problem beruht also auf einem Missverständnis des Builtin (vordefiniert) Containers.
Edit: Weitere Möglichkeit: GPPs benutzen - auch damit können lokale Gruppen mit Domänenkonten befüllt werden.
D3ns007
D3ns007 05.03.2010 um 15:16:06 Uhr
Goto Top
Danke für den Comment....
Der hats gebracht. Ganz schön kompliziert =)