Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
2K3 - Lokalen Benutzer auf Domänencontroller anlegen
Hallo!
ich muss unserem Sheduler Benutzer für alle Server Admin Rechte geben, damit dieser die Server automatisiert neustarten etc. kann.
Das Problem ist jedoch, dass wir einen Domänencontroller und einen Backup Domänencontroller haben wo man laut "googeln" und Versuch keinen lokalen Benutzer anlegen kann.
Wollte explizit den Benutzer (andere Domäne als Server) in die Lokale Admin Gruppe tun.
Wie kann ich dies auch auf den DC durchführen?
Könnte den Benutzer auch in die Administrator Gruppe im AD einfügen, jedoch ist das nur eine globale Gruppe und findet die Benutzer einer anderen Domäne nicht (das schafft nur Gruppentyp Universal).
Sobald man das AD installiert hat ist schluss mit lokal.
du kannst auf einem nicht DC server in der Domäne lokale nutzer anlegen, aber nicht auf dem DC selbst
ich muss unserem Sheduler Benutzer für alle Server Admin Rechte geben, damit dieser die Server automatisiert neustarten etc. kann.
Warum Admin-Rechte, um den Server neuzustarten? Das kann man auch in den Sicherheitseinstellungen der GPOs einrichten.
Zitat von Michi777
...dass wir einen Domänencontroller und einen Backup Domänencontroller haben wo man laut "googeln" und Versuch keinen lokalen Benutzer anlegen kann.
Das ist auch richtig so.
Zitat von Michi777
Wie kann ich dies auch auf den DC durchführen?
Zumindest nicht, über lokale Gruppen, da ein DC keinen lokalen Kontext hat.
Zitat von Michi777
Könnte den Benutzer auch in die Administrator Gruppe im AD einfügen, jedoch ist das nur eine globale Gruppe und findet die Benutzer einer anderen Domäne nicht (das schafft nur Gruppentyp Universal).
Die lokale Kontendatenbank wird bei einem Domänencontroller abgeschaltet, man kann dort im Normalbetrieb keine lokalen Benutzer mehr anlegen oder verwenden.
Wozu braucht Dein Scheduler User denn eigentlich Adminrechte? Zum Neustarten sind die ja eigentlich nicht notwendig, da gibt es eine eigene Berechtigung in den Sicherheitsrichtlinien für.
ich muss unserem Sheduler Benutzer für alle Server Admin Rechte geben, damit dieser die Server automatisiert neustarten etc. kann.
Es gibt keine Admin-Rechte, der Administrator ist Memeber der Gruppe der Administratoren, diese hat Berechtigung auf auf Objekte, Verzeichnisse und Schlüssel.
abgesehen davon, dass auch ich davon abrate, für derartige Vorgänge gleich Adminrechte zu erteilen, kann man den User in die Gruppe Builtin\Administratoren im AD stecken. Das ist die Gruppe der lokalen Administratoren auf allen DCs - und nur da. Siehe auch den Artikel, den Oliver verlinkt hat.
Aber Vorsicht: Damit kann der Benutzer praktisch eure ganze Domäne zerstören bzw. manipulieren.
Wie kann ich den restart befehl (batch datei) ein ausführen als (Benutzer und Passwort) mit auf die Reise geben, damit dies problemlos funktioniert.
...bin immer auf ein "password promend" zum eingeben erzwungen.
Weiteres habe ich den Benutzer in die Built in Gruppe "Administrators" der jeweiligen Domäne getan und von der logik her muss das nun funktioniern - macht es jedoch nicht - Access Denied
Weiteres habe ich versucht eine universelle Gruppe zu erstellen, wo ich diesen Benutzer reingelegt habe und danach wollte ich diese universelle Gruppe in die globale "!Domänen Admins" Gruppe tun - nichts gefunden.
Auftrag: Sheduler (nicht der Systemeigene, sondern UC4 Sheduler) startet einfach zeitgesteuert diese .bat Datei - die .bat Datei muss die notwendigen Benutzerdaten zur einwandfreien Durchführen enthalten.
