2K3 - Benutzern lokale Admin-Rechte zuweisen

[ag1]

Hallo,
ein Kunde hat einen Win2003 Server mit Win2000- und WinXP-Clients. Die Mitarbeiter arbeiten ständig an anderen Rechnern. Bisher habe ich alle User manuell an allen Rechnern angelegt und ihnen lokale Admin-Rechte zugewiesen. Jetzt ist ein neuer Mitarbeiter hinzugekommen. Das bedeutet ich müsste wieder den neuen User an allen PCs anlegen.
Jetzt hab ich mir gedacht ich regle dies über eine Gruppenrichtlinie. Heute morgen hat mich dann der neue User angerufen, daß er ein Programm nicht starten kann. Hab dann auf dem Rechner (W2k) nachgeschaut und festgestellt, daß der neue User nicht in der Benutzerliste auf dem PC existiert. Hab ihn dann manuell angelegt und der lokalen Admin-Gruppe hinzugefügt und schon konnte das Programm gestartet werden.

Ist es möglich, daß ein Benutzer bei der erstmaligen Anmeldung an einem Rechner lokal als Benutzer angelegt wird und zu den lokalen Administratoren hinzugefügt wird?


Würde mich sehr über Tipps freuen.


MFG
ag1

[spaceguy]

Hallo,

das Ganze kannst du schon mittels GPO lösen.
Je nach Sprache über restricted groups bzw. eingeschränkte Gruppe

Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de

Die GPO wendest du einfach auf deine Clients an (vorausgesetzt deine Clients liegen alle in einer OU und nicht einfach nur unter "computers").

Das ist ganz einfach und somit kannst du die lokalen Admins zentral übers AD verwalten.

CU
Chris

[ChristianHemker]

Hallo,

möchtest du, das die Domänenkonten in die lokale Gruppe Administratoren aufgenommen wird?
Versuch mal mit der GPO Einstellung eingeschränkte Gruppen:
Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[ag1]

Hallo,

danke euch für eure Antworten. Ich glaube ich hab den Fehler schon gefunden. Ich hatte am Server in den GPO-Eigenschaften im Fenster "Mitglieder dieser Gruppe" vergessen, die Gruppe hinzuzufügen
Ich hoffe das wars. Werde es später mal an einem Client überprüfen...


Gruß
ag1

[mcc]

Hallo zusammen,

wie macht ihr das, das ein Benutzer nur auf seinem Notebook lokaler Admin ist? Ist sicher nur manuell zu machen, oder? Wir würden gern die temporären Adminrechte zentral verwalten können, müssten dazu aber vermutlich für jeden Client eine Admingruppe anlegen, wenn ich das HowTo richtig verstanden habe, oder?

Grüße
Christian

[Sunny61]

Zitat von ag1 Bisher habe ich alle User manuell an allen Rechnern angelegt und ihnen lokale Admin-Rechte zugewiesen.

Das ist keine gute Idee, alle User als lokale Admins arbeiten zu lassen. Hier gibts Lösungsvorschläge wie man die Programme für normale User nutzbar machen kann: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

Zitat von ag1 Ist es möglich, daß ein Benutzer bei der erstmaligen Anmeldung an einem Rechner lokal als Benutzer angelegt wird und zu den lokalen Administratoren hinzugefügt wird?

Das kannst Du, wie bereits vorgeschlagen, mittels GPO lösen: Eingeschränkte Gruppen

Wichtiger ist allerdings, die Programme für normale User lauffähig zu machen. Von welchen Programmen sprechen wir?

[mcc]

Zitat von Sunny61 Das ist keine gute Idee, alle User als lokale Admins arbeiten zu lassen. Hier gibts Lösungsvorschläge wie man die Programme für normale User nutzbar machen kann: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

Vielen Dank für den Hinweis, aber das Thema ist bei uns bereits durch. Wir werden das Konzept aus verschiedenen Gründen allerdings jetzt nicht ändern.

Zitat von Sunny61 Das kannst Du, wie bereits vorgeschlagen, mittels GPO lösen: Eingeschränkte Gruppen Wichtiger ist allerdings, die Programme für normale User lauffähig zu machen. Von welchen Programmen sprechen wir?

Das mit den eingeschränkten Gruppen bedeutet doch aber, dass der Benutzer auf mehreren Clients lokaler Admin ist, oder? Ich möchte halt ungern für jeden Client eine eigene Gruppe (bzw. eine eigene GPO) anlegen, in der dann der eine Benutzer drin ist. Hab ich das falsch verstanden und das funktioniert genau mit dieser eingeschränkten Gruppe?

Grüsse
Christian

[ChristianHemker]

Hallo,

der Benutzer wird auf jedem Computer in Reichweite der GPO zum lokalen Admin.