fabgg6
Goto Top

Zeitweiliges Domänen-Administratorkonto

Hallo Leute,

ich möchte ein paar Junioradministratoren gewisse Rechte einräumen, die sie als eingeschränkte Nutzer normalerweise nicht haben.

Es gibt immer ein paar interessierte und hilfsbereite Schüler, denen ich auch im Netzwerk verschiedene administrative Tätigkeiten erlauben möchte. Dazu habe ich ein spezielles Benutzerkonto eingerichtet, dem ich jetzt wohl noch die passenden Rechte zuordnen muss. Ich bin aber selbst nur "Hobbyadministrator".

Wir haben an der Schule eine Domäne mit einem Server (DC) unter W2003R2, einen Kommunikationsserver unter demselben OS sowie 90 Clients von Windows 2000 bis 7-64 Bit, 5 Netzwerkdrucker, etwa 60 Anwendungsprogramme und ca. 650 Nutzer mit servergespeicherten Profilen und Homeverzeichnissen. Da gibt es immer etwas zu tun, manchmal ist der Wochenplan (für 4 bezahlte Wochenstunden) so voll, dass ich wirklich etwas Hilfe in Anspruch nehmen würde. Es gibt auch ein paar geeignete Kandidaten, die gern mitmachen würden. Insbesondere ginge es um die Veränderung von Zugriffsrechten für lokale Verzeichnisse (z.B. Orbitron-TLE-Updates auch durch eingeschränkte Nutzer oder LingoPad mit einheitlichen Wörterbüchern für alle), Update- oder Neuinstallationen von Software (z. B. neues Inkscape, GeoGebra, Filius oder GIMP) und Treibern (vor allem Grafik), Datensicherungen, Verwaltung der Benutzermenüs sowie (schlimmstenfalls) das Einbinden neuer bzw. mit einem neuen Betriebssystem versehener Rechner in die Domäne.

Drei Fragen:

1. Was müsste ich wie einstellen, damit ein spezieller Nutzer, der praktisch nur einmal pro Woche für 2-3 Stunden aktiviert wird, die oben angeführten Tätigkeiten ausführen kann? (Zuordnung in die Gruppe Administratoren genügt offenbar nicht.)

2. Lässt es sich so einstellen, dass dieser Nutzer keinen Zugriff auf die Home- und Profilverzeichnisse der übrigen Nutzer hat. (Ich vermute, dass ich hier nur diesem Nutzer den Zugriff auf das übergeordnete Verzeichnis verweigern muss, dass es also möglich ist.)

3. Kann man auch einstellen, dass dieser Nutzer auf dem Server bestimmte Programme (z.B. Benutzerverwaltung) nicht verwenden kann. Notfalls könnte man ihm auch den Remote-Zugriff auf den Server verbieten?

Vielen Dank im Voraus, GG.

Content-ID: 142111

Url: https://administrator.de/contentid/142111

Ausgedruckt am: 05.11.2024 um 12:11 Uhr

education
education 04.05.2010 um 18:16:08 Uhr
Goto Top
nabend.

eine OU erstellen.
Gruppe darin erstellen
gruppenrichtlinie erstellen was die gruppe darf und was nicht.

zu 1.: den benutzer die anmeldezeiten einschränken

zu 2.: ja ist möglich. zugriff für erstellte gruppe verweigern

zu 3. einstellung in der gruppenrichtlinie
lefgruen
lefgruen 04.05.2010 um 19:42:02 Uhr
Goto Top
Hallo,

ich postuliere: Ein Admin ist ein Admin ist ein Admin ...

Wird ein User in die Gruppe der Domänen-Admins aufgenommen, dann ........

Man könnte zeitgesteuert den User in die Gruppe der Domänen-Admins einfügen / aus der Gruppe entfernen.

Die Home- und Profilverzeichnisse der Benutzer sind auch für den Administrator tabu, nur die Besitzer erhalten darauf Zugriff.

Ein Mitglied der Gruppe der Domänenadministratoren kann so ziemlich alles.

Für spezielle Tätigkeiten legt man besondere Benutzer an, fügt diese besonderen Sicherheitsgruppen hinzu, z..B. Serveradministratoren.

Man schaue sich die Möglichkeiten der Objektverwaltung an.
DerWoWusste
DerWoWusste 04.05.2010 um 20:47:46 Uhr
Goto Top
Hi.
Frage 1 ist schwierig, da recht ungenau. Zugriffsrechte für lokale Verzeichnisse würde ich über GPOs setzen, das ist ein Klacks. Gibt es diese Verzeichnisse auf einigen Rechnern nicht, stört das auch keinen. Updates/Patches: Patchmanagement und Softwareverteilung sind zwar nicht "mal so eben", aber auch keine Wissenschaft. Mach Dich schlau über "software publishing" (=Installieren ohne Adminrechte), unattended installations mit Start-/Shutdownskripten (siehe auch: appdeploy.com), ebenso auf jeden Fall WSUS (kann auch Treiber) und PSI (neu: mit WSUS-Plugin!)
2: Nein. Aber man kann Überwachungsrichtlinien schalten und mit schrecklicher Vergeltung (kein Pausenbrot) drohen, wenn die fündig werden
3. Klar, über NTFS+Überwachung. Remotezugriff kannst Du natürlich verbieten über secpol.msc ->Rechtezuweisung

Nebenbei: 650 User und 4 Wochenstunden? Das ist viel zu wenig, lass Dir das nicht bieten. Dann anfangen Schüler ranzulassen? Da wäre ich ganz schwer dagegen.
fabgg6
fabgg6 05.05.2010 um 13:43:22 Uhr
Goto Top
Hallo und danke erstmal für die Antworten. Vielleicht habe ich mich nicht genau genug ausgedrückt.

Ich habe es jetzt so gemacht, dass dieser spezielle Nutzer in die Gruppe der Domänen-Admins aufgenommen wurde. Ich kann ihn per Rechtsklick in der Domäne deaktivieren und bei Bedarf aktivieren. Die Schüler arbeiten ja sonst mit ihrem eigenen Benutzerkonto mit den üblichen Rechten. Dieses spezielle Konto ist nur in den Zeiten aktiv, in denen administrativ gearbeitet werden soll. Das ist zwar Handarbeit, dafür aber sehr flexibel.

Außerdem habe ich bereits ein Verzeichnis auf dem Server, in das er nicht hineinschauen soll, für ihn speziell gesperrt ("Inhalt auflisten" sowie "Lesen/Ausführen" verweigert). Das klappt. Installieren und lokale Ordnerrechte ändern kann er jetzt auch.

Windows- bzw. MS-Updates gehen ohnehin automatisch über WSUS. Es ging mir mehr um solche Updates, die man offenbar noch nicht automatisieren kann, wie oben erwähnt, neue Versionen von Inkscape, GIMP, Filius, Firefox u.ä. zu denen es keine msi-Dateien gibt.

Jetzt muss ich ihm nur noch einige Anwendungen auf dem Server verbieten. Geht das einzeln (z. B. über Sicherheitseinstellungen für die exe-Dateien) oder muss ich in den Gruppenrichtlinien etwas umstellen und wenn ja, wo?

Gruß, GG.
DerWoWusste
DerWoWusste 05.05.2010 um 14:45:00 Uhr
Goto Top
Ich würde die Zeit in Skripting oder den Ausbau von WSUS+PSI stecken, anstatt Schüler als Domänenadmins ranzulassen. Bei Missbrauch bist Du der Dumme.
Du kannst über PSI alles mögliche aktualisieren. Was damit nicht geht, baust Du Dir als MSI mit WIWW (Vinsvision) oder wininstall LE 10 (scalable software), beides Freeware.
fabgg6
fabgg6 06.05.2010 um 09:56:09 Uhr
Goto Top
Das Problem ist, dass die Stadt kein Geld für deratige Software ausgeben will. PSI ist nämlich keine Freeware, nur für den Privatgebrauch. CSI kostet ab 5000 Euro pro Jahr. Das ist nicht in unserer Liga.

Andere Verfahren erscheinen mir (nach erster Betrachtung) so aufwändig, dass ich in der Zwischenzeit schon mehrere Räume aktualisiert habe.
DerWoWusste
DerWoWusste 06.05.2010 um 10:40:49 Uhr
Goto Top
Zu CSI: Es kostet 20€ pro Lizenz, ich hab erst vor kurzem angefragt. Bei mehr als 100 PCs noch günstiger. Der Rest kostet nichts. Von "derartiger" Software war nicht die Rede, lediglich von PSI/CSI als Anregung.
fabgg6
fabgg6 06.05.2010 um 15:54:29 Uhr
Goto Top
Ist die Lizenz "zeitlos" oder muss man jährlich die 20 € bezahlen?

Leider ist die Situation bei uns so, dass die Leute in der Stadtverwaltung selten Verständnis für administrative Arbeiten aufbringen. Dass dies alles Zeit und mitunter auch Geld kostet, ... Jedenfalls werden dafür keine Mittel eingeplant. Auf der anderen Seite fühlt man sich als Lehrer natürlich dafür verantwortlich, dass alles läuft und das tut es im Augenblick eigentlich ganz gut.

Nachdem ich Ende letzten Jahres den WSUS eingerichtet habe, bin ich mittlerweile auf den Geschmack gekommen und würde gern mehr Routinetätigkeiten komplett automatisieren. Am besten wäre es, wenn ich mir mal ein Profinetz anschauen und mit einem richtigen Admin reden könnte, damit ich überhaupt mal mitbekomme, was alles geht.

Ich nehme an, dass man pro Client eine Lizenz benötigt. Das wären dann auch rund 2.000 Euro. Wenn diese Lizenz dann jahrelang gilt, kann ich bei der Verwaltung mal anfragen, damit es eventuell in den Plan für 2011 aufgenommen wird. Gegenwärtig versuche ich gerade 22,90 € pro Monat locker zu machen, damit wir unsere Internetverbindung von 2 MBit/s auf 32 aufstocken können.

Vielen Dank an Dich, DerWoWusste.
DerWoWusste
DerWoWusste 06.05.2010 um 17:05:35 Uhr
Goto Top
Oh, das sollte ich wohl erwähnen: die Kosten waren für 2 Jahre.