Zum Inhalt wechseln


Foto

Win10 - Domäne-Admin beschränkt? Updates nur mit Admin-Rechten?

Windows 10

  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 Shao-Lee

Shao-Lee

    Member

  • 290 Beiträge

 

Geschrieben 03. August 2015 - 13:39

Hallo lieben Mitstreiter,

 

vorab: meine Domäne-Clients sind alle noch auf dem Stand Win7.

Windows 8/8.1 habe ich übersprungen und aktuell teste ich mit einem Windows 10 Client und sammle erste Erfahrungen (Win2k8-Domäne).

 

Ich habe mit folgendem Systemverhalten gerade ein Verständnisproblem und frage mich, wie ihr anderen Admins damit umgeht?

 

Trotz Domäne-Beitritt keine Administratoren-Berechtigungen?

Der Windows10-Client wurde der Domäne hinzugefügt.

Der Domäne-Administrator wurde automatisch in die Gruppe der lokalen Administratoren hinzugefügt.

Als Domäne-Admin angemeldet:

beim Öffnen des Browsers "Edge" Fehlermeldung: 

"Edge kann mithilfe des integrierten Administratorkontos nicht geöffnet werden".

Windows-Updates lässt sich mit dem Domäne-Admin auch nicht ausführen (bleibt stehen).

 

Mit einem lokalen Admin-Konto (nicht: Administrator) lässt sich das System Updaten / weitergehend konfigurieren ( = OK!).

 

Mit einem Domäne-Benutzer keine Update-Installation möglich +eingeschränkte Systemkonfiguration ( = OK!).

 

Hat sich hier die Benutzersystematik gegenüber Win7 so drastisch verändert?

 

Danke Euch!

 

Grüßle,

Shao


Bearbeitet von Shao-Lee, 03. August 2015 - 13:42.

It's not a Bug - It's a Feature :suspect:

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.609 Beiträge

 

Geschrieben 03. August 2015 - 13:42   Lösung

Wundert mich nicht, da per Default für den Account die UAC abgeschaltet ist. Probiers doch mal mit einem sinnvolleren Account als den Built-in Dom-Admin ;)

Make something i***-proof and they will build a better i***.


#3 pharao

pharao

    Junior Member

  • 120 Beiträge

 

Geschrieben 03. August 2015 - 13:45

Das war ab Windows 8 schon der Fall, meine ich.

Wenn du dich als administrativer Benutzer und nicht als "Administrator" anmeldest, sollten die Apps funktionieren.


Lieber den Spatz in der Hand, als die Taube auf dem Dach.

#4 NilsK

NilsK

    Expert Member

  • 12.347 Beiträge

 

Geschrieben 03. August 2015 - 14:13

Moin,

 

zu dem Problem dürfte auch noch beitragen, dass du dich anscheinend mit dem Konto "Administrator" der Domäne anmeldest. Seit Windows Vista (meine ich - spätestens aber seit Windows 7) verwendet Windows den lokalen Account, falls es lokal einen gleichnamigen gibt. Um den aus der Domäne zu nehmen, musst du den Domänennamen davorsetzen (Domäne\User).

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 03. August 2015 - 14:32

Moin,

 

zu dem Problem dürfte auch noch beitragen, dass du dich anscheinend mit dem Konto "Administrator" der Domäne anmeldest. Seit Windows Vista (meine ich - spätestens aber seit Windows 7) verwendet Windows den lokalen Account, falls es lokal einen gleichnamigen gibt. Um den aus der Domäne zu nehmen, musst du den Domänennamen davorsetzen (Domäne\User).

 

Gruß, Nils

 

Interessant... jetzt wird mir so langsam klar, warum es bei mir einmal zwei Domänenadministratoren gegeben hat. Einer hieß "Administrator", der andere "Admin". Ist der Benutzer "Administrator" (lokal) nicht standardmäßig deaktiviert, wenn man einen Client mit z.B. Windows 7 aufsetzt?

 

 

 

Ich habe mit folgendem Systemverhalten gerade ein Verständnisproblem und frage mich, wie ihr anderen Admins damit umgeht?

 

 

Den Domänenadministrator zur Verwaltung von Clients zu nehmen ist finde ich etwas ungünstig und mir wurde hier auch davon abgeraten.

Ich habe eine Gruppe angelegt, deren Mitglieder automatisch per GPO lokale Administratorrechte auf Clients zugewiesen bekommen. Den Domänenadminstrator nehme ich nur noch für die Verwaltung von Servern. Genau genommen müsste man da vielleicht auch nochmal abgrenzen und den Domänenadmin nur zur Verwaltung von Domain Controllern nehmen. Bei meiner relativ kleinen Umgebung (zwei Memberserver, zwei DCs) hat das für mich bisher aber noch keinen großen Sinn gemacht.


Bearbeitet von willy-goergen, 03. August 2015 - 14:38.


#6 NilsK

NilsK

    Expert Member

  • 12.347 Beiträge

 

Geschrieben 03. August 2015 - 14:38

Moin,

 

"den" Administrator verwendet man gar nicht für die Administration, sondern nur für Notfälle. Auch in kleinen Netzen.

Und Domänen-Admins nimmt man nur dort, wo man sie wirklich braucht. Das ist sehr selten der Fall.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 03. August 2015 - 14:51

Deswegen hab ich auch geschrieben "hieß". :)

War vielleicht etwas missverständlich von mir geschrieben.

Den eingebauten Domänenadministrator hab ich umbenannt, in eine OU geschoben und die Stelle einen Benutzer "Administrator" gesetzt, mit dem man faktisch gar nichts anfangen kann.

 

Das eingebaute Konto ist bei mir, wie du schon schreibst, der Notfallzugang. Für die eigentliche Administration nehme ich mittlerweile andere, neue Konten.

 

EDIT:

Ich hab da nochmal drüber nachgedacht.

 

 

Moin,

 

"den" Administrator verwendet man gar nicht für die Administration, sondern nur für Notfälle. Auch in kleinen Netzen.

Und Domänen-Admins nimmt man nur dort, wo man sie wirklich braucht. Das ist sehr selten der Fall.

 

Gruß, Nils

 

 

 

Meinst du wirklich, das macht in so einer "kleinen" Umgebung (4 Server, ca. 50 Clients) wie meiner überhaupt Sinn, zwischen Domänen-Admins mit allen Rechten und ggf. einem Admin für Server zu differenzieren? Für viele ist es sowieso schon schwer zu verstehen, wieso ein Domänen-Admin plötzlich keinen Zugang mehr zu Clients haben soll. Von der Umsetzung ganz zu schweigen...

 

Im Prinzip bin ich Einzelkämpfer und die einzige Person, die auf Server administrativ zugreift. Wieso sollte ich da so restriktiv sein und mir mein Leben selbst damit schwer machen? Mir fällt dazu grade kein Anwendungsfall ein...

 

Wo könnte so eine Konstellation problematisch werden?


Bearbeitet von willy-goergen, 03. August 2015 - 17:03.


#8 Shao-Lee

Shao-Lee

    Member

  • 290 Beiträge

 

Geschrieben 04. August 2015 - 06:53

Hallo zusammen!

 

@Nils: Die Thematik mit dem "Administrator" (Lokal <=> domäne\administrator) ist ja schon seit Ewigkeiten (seit Vista/2008) so gelöst. Finde es zwar auch ein bissel unglücklich, aber wenn man's weiß, ist das völlig in Ordnung.

 

@All: Vielen Dank für Euer Feedback; dann werde jetzt ich auch meine Benutzersystematik anpassen.

Aber ich find' es Schad', dass Win 10 bei der Konto-Bezeichnung "administrator" nicht mehr zwischen dem lokalem (deaktivierten) Admin und dem (aktiven) Domäne-Administrator unterschiedet, sondern die Rechte einfach grundsätzlich beschneidet... 

 

Tja - so ist das :-)

 

Dank' Euch nochmals für Euer konstruktives Feedback!


It's not a Bug - It's a Feature :suspect: