Win10 - Domäne-Admin beschränkt? Updates nur mit Admin-Rechten?

[Shao-Lee 11]

Hallo lieben Mitstreiter,

 

vorab: meine Domäne-Clients sind alle noch auf dem Stand Win7.

Windows 8/8.1 habe ich übersprungen und aktuell teste ich mit einem Windows 10 Client und sammle erste Erfahrungen (Win2k8-Domäne).

 

Ich habe mit folgendem Systemverhalten gerade ein Verständnisproblem und frage mich, wie ihr anderen Admins damit umgeht?

 

Trotz Domäne-Beitritt keine Administratoren-Berechtigungen?

Der Windows10-Client wurde der Domäne hinzugefügt.

Der Domäne-Administrator wurde automatisch in die Gruppe der lokalen Administratoren hinzugefügt.

Als Domäne-Admin angemeldet:

beim Öffnen des Browsers "Edge" Fehlermeldung: 

"Edge kann mithilfe des integrierten Administratorkontos nicht geöffnet werden".

Windows-Updates lässt sich mit dem Domäne-Admin auch nicht ausführen (bleibt stehen).

 

Mit einem lokalen Admin-Konto (nicht: Administrator) lässt sich das System Updaten / weitergehend konfigurieren ( = OK!).

 

Mit einem Domäne-Benutzer keine Update-Installation möglich +eingeschränkte Systemkonfiguration ( = OK!).

 

Hat sich hier die Benutzersystematik gegenüber Win7 so drastisch verändert?

 

Danke Euch!

 

Grüßle,

Shao

bearbeitet 3. August 2015 von Shao-Lee

[NorbertFe 1.799]

Wundert mich nicht, da per Default für den Account die UAC abgeschaltet ist. Probiers doch mal mit einem sinnvolleren Account als den Built-in Dom-Admin ;)

[pharao 5]

Das war ab Windows 8 schon der Fall, meine ich.

Wenn du dich als administrativer Benutzer und nicht als "Administrator" anmeldest, sollten die Apps funktionieren.

[NilsK 2.781]

Moin,

 

zu dem Problem dürfte auch noch beitragen, dass du dich anscheinend mit dem Konto "Administrator" der Domäne anmeldest. Seit Windows Vista (meine ich - spätestens aber seit Windows 7) verwendet Windows den lokalen Account, falls es lokal einen gleichnamigen gibt. Um den aus der Domäne zu nehmen, musst du den Domänennamen davorsetzen (Domäne\User).

 

Gruß, Nils

[willy-goergen 0]

Moin,

 

zu dem Problem dürfte auch noch beitragen, dass du dich anscheinend mit dem Konto "Administrator" der Domäne anmeldest. Seit Windows Vista (meine ich - spätestens aber seit Windows 7) verwendet Windows den lokalen Account, falls es lokal einen gleichnamigen gibt. Um den aus der Domäne zu nehmen, musst du den Domänennamen davorsetzen (Domäne\User).

 

Gruß, Nils

 

Interessant... jetzt wird mir so langsam klar, warum es bei mir einmal zwei Domänenadministratoren gegeben hat. Einer hieß "Administrator", der andere "Admin". Ist der Benutzer "Administrator" (lokal) nicht standardmäßig deaktiviert, wenn man einen Client mit z.B. Windows 7 aufsetzt?

 

 

 

Ich habe mit folgendem Systemverhalten gerade ein Verständnisproblem und frage mich, wie ihr anderen Admins damit umgeht?

 

 

Den Domänenadministrator zur Verwaltung von Clients zu nehmen ist finde ich etwas ungünstig und mir wurde hier auch davon abgeraten.

Ich habe eine Gruppe angelegt, deren Mitglieder automatisch per GPO lokale Administratorrechte auf Clients zugewiesen bekommen. Den Domänenadminstrator nehme ich nur noch für die Verwaltung von Servern. Genau genommen müsste man da vielleicht auch nochmal abgrenzen und den Domänenadmin nur zur Verwaltung von Domain Controllern nehmen. Bei meiner relativ kleinen Umgebung (zwei Memberserver, zwei DCs) hat das für mich bisher aber noch keinen großen Sinn gemacht.

bearbeitet 3. August 2015 von willy-goergen

[NilsK 2.781]

Moin,

 

"den" Administrator verwendet man gar nicht für die Administration, sondern nur für Notfälle. Auch in kleinen Netzen.

Und Domänen-Admins nimmt man nur dort, wo man sie wirklich braucht. Das ist sehr selten der Fall.

 

Gruß, Nils

[willy-goergen 0]

Deswegen hab ich auch geschrieben "hieß". :)

War vielleicht etwas missverständlich von mir geschrieben.

Den eingebauten Domänenadministrator hab ich umbenannt, in eine OU geschoben und die Stelle einen Benutzer "Administrator" gesetzt, mit dem man faktisch gar nichts anfangen kann.

 

Das eingebaute Konto ist bei mir, wie du schon schreibst, der Notfallzugang. Für die eigentliche Administration nehme ich mittlerweile andere, neue Konten.

 

EDIT:

Ich hab da nochmal drüber nachgedacht.

 

 

Moin,

 

"den" Administrator verwendet man gar nicht für die Administration, sondern nur für Notfälle. Auch in kleinen Netzen.

Und Domänen-Admins nimmt man nur dort, wo man sie wirklich braucht. Das ist sehr selten der Fall.

 

Gruß, Nils

 

 

 

Meinst du wirklich, das macht in so einer "kleinen" Umgebung (4 Server, ca. 50 Clients) wie meiner überhaupt Sinn, zwischen Domänen-Admins mit allen Rechten und ggf. einem Admin für Server zu differenzieren? Für viele ist es sowieso schon schwer zu verstehen, wieso ein Domänen-Admin plötzlich keinen Zugang mehr zu Clients haben soll. Von der Umsetzung ganz zu schweigen...

 

Im Prinzip bin ich Einzelkämpfer und die einzige Person, die auf Server administrativ zugreift. Wieso sollte ich da so restriktiv sein und mir mein Leben selbst damit schwer machen? Mir fällt dazu grade kein Anwendungsfall ein...

 

Wo könnte so eine Konstellation problematisch werden?

bearbeitet 3. August 2015 von willy-goergen

[Shao-Lee 11]

Hallo zusammen!

 

@Nils: Die Thematik mit dem "Administrator" (Lokal <=> domäne\administrator) ist ja schon seit Ewigkeiten (seit Vista/2008) so gelöst. Finde es zwar auch ein bissel unglücklich, aber wenn man's weiß, ist das völlig in Ordnung.

 

@All: Vielen Dank für Euer Feedback; dann werde jetzt ich auch meine Benutzersystematik anpassen.

Aber ich find' es Schad', dass Win 10 bei der Konto-Bezeichnung "administrator" nicht mehr zwischen dem lokalem (deaktivierten) Admin und dem (aktiven) Domäne-Administrator unterschiedet, sondern die Rechte einfach grundsätzlich beschneidet... 

 

Tja - so ist das :-)

 

Dank' Euch nochmals für Euer konstruktives Feedback!