Nic 10 Geschrieben 7. Oktober 2002 Melden Teilen Geschrieben 7. Oktober 2002 Hi Jungs! Jeder von euch kannte sicher den NT 4.0 Gewissenskonflikt: Geb ich keine Adminrechte her, muss ich den ganzen Userkram alleine einrichten . Geb ich sie her, können meine Kollegen mir die Domäne kaputtmachen (Adminkonten löschen :shock: )... usw... Das System/Ziel ist klar: Möglichst wenig Domänen-Admin Konten. Das ist ja jetzt alles mit ADS und ihrer fein administrierbaren OU-Struktur erledigt ;) . Aber ich habe trotzdem noch folgendes Problem: Ich bin neben den Dozententätigkeiten auch der Admin unseres Schulungscenters (rein Windows 2000). Den Job mach ich alleine. Ich habe einige Adminkonten angelegt (einen Hauptadmin und ein paar Notkonten), selbst ich arbeite mit einem normalen Konto, verwende häufig die "run as" Funktion zum Administrieren. Die Dozenten haben alle "normale" Userkonten. Ab und an haben wir einen Praktikanten. Dem kann ich ja mit einer Management Console und den entsprechenden Sicherheitseinstellungen die Möglichkeit geben neue User (keine Admins) und Computerkonten anzulegen bzw. vorhandene zu verändern. Das habe ich auch für meine Kollegen so eingerichtet. Damit lässt sich aber noch nicht alles bewerkstelligen. Folgende Lücke konnte ich bis heute noch nicht wirklich füllen: Die Dozenten sollen an allen Maschinen mit ihren Konten lokale Adminrechte besitzen, weil ab und an wichtige Einstellungen/Installationen zu machen sind und ich nicht jeden Tag da bin. Lokal können sie nicht viel kaputt machen bzw. es ist nicht schlimm, wenn diese Konten "geknackt" werden. Vereinheitliche ich die lokalen Admin-Passwörter, ist es eine Frage von Stunden, bis die Teilnehmer das rausgefunden haben :suspect: . Hab ich an jeder Maschine ein anderes Admin-Passwort brauch ich ne Liste und die... na ihr könnt es euch denken... :cool: Jetzt gibt es bereits eine hilfreiche Default-Einstellung, die beim Domänenbeitritt einer Windows NT/2000-Maschine erstellt wird, nämlich DOMÄNENADMINS ---> lokale Administratoren Folglich bleibt mir nur die Wahl, die Dozentenkollegen zu Domänen-Admins zu machen (das muss ich verhindern! :eek: ) bzw. an allen Maschinen die Einstellung lokal vorzunehmen . Genauso interessant wäre es, Teilnehmer für eine bestimmte Zeit als Administratoren ihrer "eigene" Maschine zu führen. Wenn es eine entsprechende Funktion gäbe, wäre auch das kein Problem. Eigentlich sollte sich diese Default-Einstellung (DOMÄNENADMINS ---> lokale Administratoren) um "Dozenten in lokale Administratoren" erweitern lassen. Vermutlich per GPO (evtl. eine Undokumentierte?). Die nötige Richtlinie hab ich leider noch nicht gefunden. Gibt es andere Lösungsansätze? Danke für eure Tipps... Gruss Nic Zitieren Link zu diesem Kommentar
Mohadip23 10 Geschrieben 7. Oktober 2002 Melden Teilen Geschrieben 7. Oktober 2002 Kenn das Problem. Habe wie du wahrscheinlich schon gelesen hast ein ähnliches Problem. Ich werde es so machen (noch keine Zeit gehabt :D : erstens eine Gruppe mit dem Namen Raum1 mit den Rechnername anlegen (bs Rechner 1 ... Rechner 22 ) und dieser Gruppe Scripte und BenutzerRechte zuweisen,werde eine Gruppe DozentenEx (Externe) anlegen die nur beschränkte Rechte innerhalb der Netzes haben. Zweite Gruppe Dozenten sind die Hausdozenten die Hauptbenutzerrechte haben damit Sie Programme installieren können. Dann natürlich einen Benutzer der lokale Adminrechte hat damit die Dozenten im Notfall " ausführen als oder run as" benutzen können. Je nach Sicherheit kann man ja das Kennwort (zur Verwirrung aller :-) ) alles 7 - 14 Tage ändern und oder Kryptisch anlegen. Damit habe ich den Vorteil das ich den Leuten jetzt die Möglichkeit gegeben habe auf dem Rechner zu arbeiten bzw. neu zu installieren. Als nächstes werde ich ein servergespeichertes Profil anlegen für jeden Rechnernamen. Jetzt habe ich die Möglichkeit je nachdem was die Leute machen ist mein Rechner am nächsten Tag wieder TOP. Aus Sicherheitsgründe lege ich noch an Image an . Sicher ist Sicher :-). Leider habe ich die Erfahrung gemacht das wenn man unter Windows mit Gpo's arbeitet kann es schneller passieren als man denk, das einem mehr Rechte fehlen als gewollt. Habe gehört es soll ein Tool geben was einem bei der Erstellung bei einer GPO helfen soll!! moha23 Zitieren Link zu diesem Kommentar
Nic 10 Geschrieben 7. Oktober 2002 Autor Melden Teilen Geschrieben 7. Oktober 2002 Hi Mohadip! Klar, vermutlich hat das Problem jeder. Ich versuche es eben so weit es geht zu automatisieren. Wir haben seit Sommer die "Softwareverteilung" auf Sysprep+DriveImage umgestellt und somit auch für unsere Zwecke optimiert. Die Dozenten haben eine Checkliste, wie sie einen Rechner wiederherstellen können und welche Schritte sie danach noch vornehmen müssen. Über die Sicherheitseinstellungen der ADS kann ich ihnen ja auch das "Recht" geben, Computer zur Domäne hinzuzufügen. Aber es fehlt noch immer die Möglichkeit sie mit ihren eigenen Konten zu lokalen Admins zu machen. Klar, bei "dauerhaft" eingerichteten Räumen mach ich das mit einer Console, in der ich alle 20 Computerverwaltungen der PCs drin hab. Da brauch ich ja bloss die Globalen Dozenten in die lokalen Admins zu stecken. Das ist mir vom Prinzip her auch nicht zu viel Arbeit. Mich stört dabei bloss, dass diesen Vorgang eben in meiner Abwesenheit keiner mehr durchführen kann. Die Arbeitsschritte dazu sind einfach zu komplex um das in einer "to-do"-Liste einem nicht PC-Kenner aufzuschreiben. Und da es ja schon diese "Domänen-Admins in lokale Admins" Regel gibt, sollte die doch auch irgendwie erweiterbar sein. Ich war mal auf einer Präsentation von NetIQ. Die haben mit ihren Tools Sachen konfiguriert, da kommt man mit den "Werk-Snap-Ins" gar nicht dran... Vielleicht ist es eine solche "versteckte" Schnittstelle... so long Gruss Nic Zitieren Link zu diesem Kommentar
Mohadip23 10 Geschrieben 7. Oktober 2002 Melden Teilen Geschrieben 7. Oktober 2002 wenn du alleine bist als Admin ist das ganz schön dummgelaufen :( aber wie war das noch mit RAS oder PcAnywhere ? :cool: moha23 etwas Mitleid mit uns Admins :D Zitieren Link zu diesem Kommentar
Nic 10 Geschrieben 7. Oktober 2002 Autor Melden Teilen Geschrieben 7. Oktober 2002 Hi Mohadip! Das mit RAS und PcAnywhere ist nicht so das Problem. Aber ich hab mit meinem Arbeitgeber keinen 168-Wochenstunden-Vertrag gemacht. Rufbereitschaft hab ich keine und ich meine sowas wie "Urlaub" im Vertrag stehen zu haben... "Ansonsten" mach ich das ja gerne... Gruss Nic Zitieren Link zu diesem Kommentar
Computertarzan 10 Geschrieben 7. Oktober 2002 Melden Teilen Geschrieben 7. Oktober 2002 hm versuche es doch mal so . eine neue gruppe anlegen auf lokalen pc mit gleichem name wie in der domäne dann zu lokalen admin hinzufügen, dann fertig. doz sind auch in der gruppe und dann das image mal testen. cu Zitieren Link zu diesem Kommentar
Mohadip23 10 Geschrieben 8. Oktober 2002 Melden Teilen Geschrieben 8. Oktober 2002 Urlaub kann Mann das essen ? Hin und wieder denke ich kann man genauso gut in der Firma schlafen als noch nach Hause zu fahren. :D moha23 Zitieren Link zu diesem Kommentar
Nic 10 Geschrieben 8. Oktober 2002 Autor Melden Teilen Geschrieben 8. Oktober 2002 Hi! So richtig stressig isses bei uns ja eigentlich nicht. Und als Dozent hat man die besten Arbeitszeiten überhaupt. Da ich aber den Adminjob alleine mache, kann halt sonst niemand einspringen. Hatte jetzt 4 Wochen Urlaub und war in dieser Zeit ca. alle 3-4 Tage mal im Büro... ;) Gruss Nic Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.