Windows 2016 Active Directory Admin User auf jeden Computer in Domäne
Hallo zusammen
Habe die Suchfunktion und google durchsucht, aber ich werde irgendwie nicht fündig.
Folgende Ausgangssituation:
Ich habe eine AD Domäne eingerichtet mit verschiedenen Benutzern und Benutzergruppen.
Die Benutzer sind in verschiedene Gruppen eingeteilt, welche nur die notwendigen Rechte haben.
Hat alles top funktioniert.
Problem:
Nun ist es so, dass ich gerne, da die Nutzer zum Teile sehr eingeschränkt sind was Software Installationen usw. angeht, einen lokalen Benutzer hätte, der diese Beschränkungen aufheben kann.
Also einen lokalen Admin. Und das am besten automatisch auf jedem Computer der sich bereits in der Domäne befindet bzw. auch welcher neu hinzugefügt wird.
Des weiteren soll es Benutzergruppen geben die von Haus aus mit lokalen Adminrechten ausgestattet sind. (Die wissen was sie tun User bzw. die brauchen es um zu Arbeiten User).
Die sollen am Computer machen können als wären sie Admins, aber eben nur auf dem Computer.
Die User sollten auch Software Installationen auf beschränkten Accounts mit deren Credentials freigeben können (falls das möglich ist).
Ich steh da echt auf dem Schlauch und komm nicht wirklich weiter, find auch nicht wirklich zielführende Infos wie ich das am besten angehe.
Ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.
Danke und Grüße
Flo
Habe die Suchfunktion und google durchsucht, aber ich werde irgendwie nicht fündig.
Folgende Ausgangssituation:
Ich habe eine AD Domäne eingerichtet mit verschiedenen Benutzern und Benutzergruppen.
Die Benutzer sind in verschiedene Gruppen eingeteilt, welche nur die notwendigen Rechte haben.
Hat alles top funktioniert.
Problem:
Nun ist es so, dass ich gerne, da die Nutzer zum Teile sehr eingeschränkt sind was Software Installationen usw. angeht, einen lokalen Benutzer hätte, der diese Beschränkungen aufheben kann.
Also einen lokalen Admin. Und das am besten automatisch auf jedem Computer der sich bereits in der Domäne befindet bzw. auch welcher neu hinzugefügt wird.
Des weiteren soll es Benutzergruppen geben die von Haus aus mit lokalen Adminrechten ausgestattet sind. (Die wissen was sie tun User bzw. die brauchen es um zu Arbeiten User).
Die sollen am Computer machen können als wären sie Admins, aber eben nur auf dem Computer.
Die User sollten auch Software Installationen auf beschränkten Accounts mit deren Credentials freigeben können (falls das möglich ist).
Ich steh da echt auf dem Schlauch und komm nicht wirklich weiter, find auch nicht wirklich zielführende Infos wie ich das am besten angehe.
Ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.
Danke und Grüße
Flo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386619
Url: https://administrator.de/forum/windows-2016-active-directory-admin-user-auf-jeden-computer-in-domaene-386619.html
Ausgedruckt am: 27.03.2025 um 08:03 Uhr
10 Kommentare
Neuester Kommentar
Hi.
Lies mal Sicherer Umgang mit Supportkonten
Das ist meiner Ansicht nach das Beste, was Du tun kannst.
Lies mal Sicherer Umgang mit Supportkonten
Das ist meiner Ansicht nach das Beste, was Du tun kannst.
Die GPO muss auf den Computer angewendet werden. Dazu muss:
- die GPO auf eine OU verlinkt sein, die Computer und nicht Benutzer enthält
- der Computer die Gruppenrichtlinie auch übernehmen. Das erreichst Du am einfachsten mittels Neustart des Computers.
Überprüfen kann man das dann zum Beispiel so: https://www.tecchannel.de/a/windows-praxis-gruppenrichtlinien-ueberpruef ...
Grüße
lcer
- die GPO auf eine OU verlinkt sein, die Computer und nicht Benutzer enthält
- der Computer die Gruppenrichtlinie auch übernehmen. Das erreichst Du am einfachsten mittels Neustart des Computers.
Überprüfen kann man das dann zum Beispiel so: https://www.tecchannel.de/a/windows-praxis-gruppenrichtlinien-ueberpruef ...
Grüße
lcer
Sehr vereinfacht und passend für Dich, als Startskript oder immediate scheduled task deploybar
Du kannst hiernach die Adminkennwörter aus der zugehörigen Textdatei entnehmen und den Leuten bei Bedarf mitteilen. Sie sind zufällig gesetz und 8 Stellen lang. Für bessere Kennwörter, nimm das generatepassword-Powershellskript aus meinem Wissensbeitrag.
SecureShare sollte write-only für Computerkonten sein, lesbar nur für Admins.
net user /add admin /random>\\server\secureshare\%computername%.txt
net localgroup administratoren /add admin
SecureShare sollte write-only für Computerkonten sein, lesbar nur für Admins.
@DerWoWusste sorry das ich den Thread nochmal aus der versenke hole. Mir stellt sich hier jedoch eine Frage: Gibt es bei den vielen Usern kein Problem mit UserCals? Ich mein, Microsoft wird sich sicher nicht drauf einlassen das die ja 99% der Zeit deaktiviert sind oder?