Domain Power Users

[jsydfhg]

Hallo,

nach meinem Windows SBS 2003 Handbuch dürfen Mitglieder der universellen Gruppe "Domain Power Users" folgende Aktionen durchführen:

Mitglieder können Benutzerkonten erstellen und ändern, Programme auf dem lokalen Computer installieren, die Dateien anderer Benutzer jedoch nicht anzeigen.

Diese Berechtigungen sind für einzelne User sehr interessant, denen ich jedoch nicht alle Domän-Adminrechte geben möchte. Ich habe die einzelnen User mit diesem Template erstellt, aber sie dürfen dennoch auf dem XP Client keine Software installieren.

Was muss dazu noch geändert werden?

[schaedld]

Damit sie keine Software installieren dürfen kannst Du in der Registry HKLM\Software\Policies einen Eintrag machen mit dem Wert DisableMSI = 2, dann können nicht mal Admins Software installieren. Dies könntest Du beim Anmeldescript setzen und beim Abmelden dann wieder entfernen (durch ein Login Script). Ich weiss leider nich mehr genau wie der Schlüssel hies (WindowsInstaller oder nur Installer, denke ich).

EDIT: Auf Windows 2003 Server ist der Schlüssel HKLM\Software\Policies\Microsoft\Windows\Installer
Hier noch der Link zum Original von MS DisableMSI (Windows)

[jsydfhg]

Glaube du hast mich falsch verstanden. Sie sollen Software installieren dürfen, aber keine Dateien anschauen, für die sie keine Berechtigung haben oder z.B. Netzwerkeinstellungen ändern dürfen.

Das würde die Beschreibung vom "Domain Power User" eigentlich genau treffen, funktioniert leider nicht so. Der User darf nichts installieren.

[Anakim]

Hallo

"Domain Power Users" wird auf dem Rechner in der Gruppe "Hauptbenutzer" nicht aufgeführt sein. Du solltest z.B. mit ein GPO die Gruppe der "Hauptbenutzer" füllen. Domain-Power-
USers ist keine Standardgruppe auf XP Clients.

Du füllst die Gruppe entweder mit "Domäne\Domain-Power-Users" oder der Gruppe "Domäne\Hauptbenutzer" oder sonst irgend einer Gruppe, welche die Berechtigungsstufe eines Hauptbenutzers erhalten soll...dann sollte das auch mit dem Zugriff funktionieren.

Die Berechtigung vergibst du in der GPO über die "Computerconfiguration/Windows Einstellungen/Sicherheitseinstellungen/Eingeschränkte Gruppen". Damit kannst du dann z.B. die Gruppe "Domäne\Domain-Power-Users" aufführen.

Grüße
Anakim

[jsydfhg]

Zitat von Anakim Hallo "Domain Power Users" wird auf dem Rechner in der Gruppe "Hauptbenutzer" nicht aufgeführt sein. Du solltest z.B. mit ein GPO die Gruppe der "Hauptbenutzer" füllen. Domain-Power-USers ist keine Standardgruppe auf XP Clients.

Hallo,

habe ich bereits leider ohne Erfolg ausprobiert. Gibt es keine andere Möglichkeit, dass ein User Software installieren darf ohne Administrator zu sein?

[Anakim]

Ausführen als ... aber dann musst du ihm das Adminkennwort geben ... keine gute Idee ..

Aber nun verzweifle mal nicht, dafür gibts schon noch eine Lösung. ..

Kannst du Dinge am Client machen (außer Installation) die ein Hauptbenutzer machen darf ? Oder geht das nicht ... z.B. Netzwerkeinstellungen ändern ..

Kannst mal versuchen den oder einen Benutzer direkt in die Gruppe Hauptbenutzer einzutragen. Das kannst du auch ohne GPO testen, geht schneller .. Wie siehts dann aus ?

Grüße
Anakim