Zeitweiliges Domänen-Administratorkonto
Hallo Leute,
ich möchte ein paar Junioradministratoren gewisse Rechte einräumen, die sie als eingeschränkte Nutzer normalerweise nicht haben.
Es gibt immer ein paar interessierte und hilfsbereite Schüler, denen ich auch im Netzwerk verschiedene administrative Tätigkeiten erlauben möchte. Dazu habe ich ein spezielles Benutzerkonto eingerichtet, dem ich jetzt wohl noch die passenden Rechte zuordnen muss. Ich bin aber selbst nur "Hobbyadministrator".
Wir haben an der Schule eine Domäne mit einem Server (DC) unter W2003R2, einen Kommunikationsserver unter demselben OS sowie 90 Clients von Windows 2000 bis 7-64 Bit, 5 Netzwerkdrucker, etwa 60 Anwendungsprogramme und ca. 650 Nutzer mit servergespeicherten Profilen und Homeverzeichnissen. Da gibt es immer etwas zu tun, manchmal ist der Wochenplan (für 4 bezahlte Wochenstunden) so voll, dass ich wirklich etwas Hilfe in Anspruch nehmen würde. Es gibt auch ein paar geeignete Kandidaten, die gern mitmachen würden. Insbesondere ginge es um die Veränderung von Zugriffsrechten für lokale Verzeichnisse (z.B. Orbitron-TLE-Updates auch durch eingeschränkte Nutzer oder LingoPad mit einheitlichen Wörterbüchern für alle), Update- oder Neuinstallationen von Software (z. B. neues Inkscape, GeoGebra, Filius oder GIMP) und Treibern (vor allem Grafik), Datensicherungen, Verwaltung der Benutzermenüs sowie (schlimmstenfalls) das Einbinden neuer bzw. mit einem neuen Betriebssystem versehener Rechner in die Domäne.
Drei Fragen:
1. Was müsste ich wie einstellen, damit ein spezieller Nutzer, der praktisch nur einmal pro Woche für 2-3 Stunden aktiviert wird, die oben angeführten Tätigkeiten ausführen kann? (Zuordnung in die Gruppe Administratoren genügt offenbar nicht.)
2. Lässt es sich so einstellen, dass dieser Nutzer keinen Zugriff auf die Home- und Profilverzeichnisse der übrigen Nutzer hat. (Ich vermute, dass ich hier nur diesem Nutzer den Zugriff auf das übergeordnete Verzeichnis verweigern muss, dass es also möglich ist.)
3. Kann man auch einstellen, dass dieser Nutzer auf dem Server bestimmte Programme (z.B. Benutzerverwaltung) nicht verwenden kann. Notfalls könnte man ihm auch den Remote-Zugriff auf den Server verbieten?
Vielen Dank im Voraus, GG.
ich möchte ein paar Junioradministratoren gewisse Rechte einräumen, die sie als eingeschränkte Nutzer normalerweise nicht haben.
Es gibt immer ein paar interessierte und hilfsbereite Schüler, denen ich auch im Netzwerk verschiedene administrative Tätigkeiten erlauben möchte. Dazu habe ich ein spezielles Benutzerkonto eingerichtet, dem ich jetzt wohl noch die passenden Rechte zuordnen muss. Ich bin aber selbst nur "Hobbyadministrator".
Wir haben an der Schule eine Domäne mit einem Server (DC) unter W2003R2, einen Kommunikationsserver unter demselben OS sowie 90 Clients von Windows 2000 bis 7-64 Bit, 5 Netzwerkdrucker, etwa 60 Anwendungsprogramme und ca. 650 Nutzer mit servergespeicherten Profilen und Homeverzeichnissen. Da gibt es immer etwas zu tun, manchmal ist der Wochenplan (für 4 bezahlte Wochenstunden) so voll, dass ich wirklich etwas Hilfe in Anspruch nehmen würde. Es gibt auch ein paar geeignete Kandidaten, die gern mitmachen würden. Insbesondere ginge es um die Veränderung von Zugriffsrechten für lokale Verzeichnisse (z.B. Orbitron-TLE-Updates auch durch eingeschränkte Nutzer oder LingoPad mit einheitlichen Wörterbüchern für alle), Update- oder Neuinstallationen von Software (z. B. neues Inkscape, GeoGebra, Filius oder GIMP) und Treibern (vor allem Grafik), Datensicherungen, Verwaltung der Benutzermenüs sowie (schlimmstenfalls) das Einbinden neuer bzw. mit einem neuen Betriebssystem versehener Rechner in die Domäne.
Drei Fragen:
1. Was müsste ich wie einstellen, damit ein spezieller Nutzer, der praktisch nur einmal pro Woche für 2-3 Stunden aktiviert wird, die oben angeführten Tätigkeiten ausführen kann? (Zuordnung in die Gruppe Administratoren genügt offenbar nicht.)
2. Lässt es sich so einstellen, dass dieser Nutzer keinen Zugriff auf die Home- und Profilverzeichnisse der übrigen Nutzer hat. (Ich vermute, dass ich hier nur diesem Nutzer den Zugriff auf das übergeordnete Verzeichnis verweigern muss, dass es also möglich ist.)
3. Kann man auch einstellen, dass dieser Nutzer auf dem Server bestimmte Programme (z.B. Benutzerverwaltung) nicht verwenden kann. Notfalls könnte man ihm auch den Remote-Zugriff auf den Server verbieten?
Vielen Dank im Voraus, GG.
Please also mark the comments that contributed to the solution of the article
Content-ID: 142111
Url: https://administrator.de/contentid/142111
Printed on: October 9, 2024 at 12:10 o'clock
9 Comments
Latest comment
Hallo,
ich postuliere: Ein Admin ist ein Admin ist ein Admin ...
Wird ein User in die Gruppe der Domänen-Admins aufgenommen, dann ........
Man könnte zeitgesteuert den User in die Gruppe der Domänen-Admins einfügen / aus der Gruppe entfernen.
Die Home- und Profilverzeichnisse der Benutzer sind auch für den Administrator tabu, nur die Besitzer erhalten darauf Zugriff.
Ein Mitglied der Gruppe der Domänenadministratoren kann so ziemlich alles.
Für spezielle Tätigkeiten legt man besondere Benutzer an, fügt diese besonderen Sicherheitsgruppen hinzu, z..B. Serveradministratoren.
Man schaue sich die Möglichkeiten der Objektverwaltung an.
ich postuliere: Ein Admin ist ein Admin ist ein Admin ...
Wird ein User in die Gruppe der Domänen-Admins aufgenommen, dann ........
Man könnte zeitgesteuert den User in die Gruppe der Domänen-Admins einfügen / aus der Gruppe entfernen.
Die Home- und Profilverzeichnisse der Benutzer sind auch für den Administrator tabu, nur die Besitzer erhalten darauf Zugriff.
Ein Mitglied der Gruppe der Domänenadministratoren kann so ziemlich alles.
Für spezielle Tätigkeiten legt man besondere Benutzer an, fügt diese besonderen Sicherheitsgruppen hinzu, z..B. Serveradministratoren.
Man schaue sich die Möglichkeiten der Objektverwaltung an.
Hi.
Frage 1 ist schwierig, da recht ungenau. Zugriffsrechte für lokale Verzeichnisse würde ich über GPOs setzen, das ist ein Klacks. Gibt es diese Verzeichnisse auf einigen Rechnern nicht, stört das auch keinen. Updates/Patches: Patchmanagement und Softwareverteilung sind zwar nicht "mal so eben", aber auch keine Wissenschaft. Mach Dich schlau über "software publishing" (=Installieren ohne Adminrechte), unattended installations mit Start-/Shutdownskripten (siehe auch: appdeploy.com), ebenso auf jeden Fall WSUS (kann auch Treiber) und PSI (neu: mit WSUS-Plugin!)
2: Nein. Aber man kann Überwachungsrichtlinien schalten und mit schrecklicher Vergeltung (kein Pausenbrot) drohen, wenn die fündig werden
3. Klar, über NTFS+Überwachung. Remotezugriff kannst Du natürlich verbieten über secpol.msc ->Rechtezuweisung
Nebenbei: 650 User und 4 Wochenstunden? Das ist viel zu wenig, lass Dir das nicht bieten. Dann anfangen Schüler ranzulassen? Da wäre ich ganz schwer dagegen.
Frage 1 ist schwierig, da recht ungenau. Zugriffsrechte für lokale Verzeichnisse würde ich über GPOs setzen, das ist ein Klacks. Gibt es diese Verzeichnisse auf einigen Rechnern nicht, stört das auch keinen. Updates/Patches: Patchmanagement und Softwareverteilung sind zwar nicht "mal so eben", aber auch keine Wissenschaft. Mach Dich schlau über "software publishing" (=Installieren ohne Adminrechte), unattended installations mit Start-/Shutdownskripten (siehe auch: appdeploy.com), ebenso auf jeden Fall WSUS (kann auch Treiber) und PSI (neu: mit WSUS-Plugin!)
2: Nein. Aber man kann Überwachungsrichtlinien schalten und mit schrecklicher Vergeltung (kein Pausenbrot) drohen, wenn die fündig werden
3. Klar, über NTFS+Überwachung. Remotezugriff kannst Du natürlich verbieten über secpol.msc ->Rechtezuweisung
Nebenbei: 650 User und 4 Wochenstunden? Das ist viel zu wenig, lass Dir das nicht bieten. Dann anfangen Schüler ranzulassen? Da wäre ich ganz schwer dagegen.
Ich würde die Zeit in Skripting oder den Ausbau von WSUS+PSI stecken, anstatt Schüler als Domänenadmins ranzulassen. Bei Missbrauch bist Du der Dumme.
Du kannst über PSI alles mögliche aktualisieren. Was damit nicht geht, baust Du Dir als MSI mit WIWW (Vinsvision) oder wininstall LE 10 (scalable software), beides Freeware.
Du kannst über PSI alles mögliche aktualisieren. Was damit nicht geht, baust Du Dir als MSI mit WIWW (Vinsvision) oder wininstall LE 10 (scalable software), beides Freeware.