Win2003 Server und Benutzer in Domäne

Servus...

 

Folgende Ausgangssituation: ein Win2003 Server muss als Domaincontroller agieren. In der Domain sind verschiedene Rechner. Den Benutzern sollen LOKAL Admin Rechte zustehen, natürlich nicht in der Domäne!

 

Als Admintool benutze ich NetAdmin 2004. Habe es leider bisher noch nicht geschafft, das oben genannte zu erreichen.

 

Habt ihr Tipps? oder geht das überhaupt?

 

ACHTUNG: das muss gehen, ohne das man auf den lokalen Rechnern in den Benutzerkonten den Benutzer als Admin einträgt. Sonst wärs ja einfach :rolleyes:

 

Das Projekt soll an einer schule realisiert werden mit 1000 Schülern, daher muss ich wissen, wie ich das mit oben genannten Sachen einrichten kann, ohne an die lokalen Rechner drangehen zu müssen....

 

Bei Fragen mail mir einfach, danke!

Hy,

 

da fallen mir nur 2 Möglichkeiten ein

 

1. lokales Admin PW verraten (sehr schlechte Idee )

2. eigene Gruppe erstellen und die lieben kleinen da reinstecken und entsprechend die Gruppe in die Admin Gruppe der lokalen WS stecken.

 

Gruß

 

CoolAce

Hi,

 

die Lösung heißt "Eingeschränkte Gruppen" in den Benutzereinstellungen im AD.

Es gibt auch Möglichkeiten, Benutzer nur mit Installationsrechten auszustatten (reicht meist schon). Wenn du damit nicht klar kommst such ich dir eine Anleitung raus dir mir damals geholfen hat.

hai.....

 

 

ja, ne anleitung wär cool, aber zumindest hab ich das prinzip verstanden. also ne gruppe definieren, die ich mit rechten ausstatten kann wie ich mag.....

 

 

sehr cool, wäre wie gesagt sehr dankbar für die Anleitung =) :)

 

ciao

Hi!

 

1. Du erstellst eine Gruppe und fügst alle User die das Recht haben sollen hinzu.

2. Du erstellst ein GPO das du auf eine OU anwendest die für alle Arbeitsstationen gilt (oder auch mehrere OUs)

3. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitsrichtlinien -> Eingeschränkte Gruppen -> Gruppe hinzufügen -> Gruppe ist in deinem Fall "Administratoren" -> Unter "Mitglieder dieser Gruppe sind" trägst du die erstellte Gruppe "DOMÄNE\Gruppenname" ein UND die Gruppe "DOMÄNE\Domänen-Admins" UND "Administrator" (sonst sind die Domänen-Admins und der Administrator-Account auf den Rechnern keine Admins mehr)

 

und das wars.

 

Aber beachte, damit kannst du viel Zerstören, denn die Mitglieder dieser Gruppe (und sonst niemand) sind jetzt lokale Admins auf allen Rechnern auf die das GPO zieht. Die Betonung liegt auf "und sonst niemand" auch nicht wenn du jemanden auf dem PC händisch einträgst -> bei der nächsten Aktualisierung des GPOs ist er wieder raus.

 

Du solltest damit sehr vorsichtig sein und dir genau überlegen was du wo anwendest!

 

Hier noch ein Link dazu, lies das vorher:

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx

 

Gruß triebwerk

Aber mom bitte......

 

bei euren ganzen möglichkeiten muss ich an die lokalen Rechner dran. Das versuche ich ja grad zu umgehen!!! kann man das nicht alles serverseitig einstellen?

Hallo,

 

bei triebwerks Methode machst du das alles am Server, da brauchst du nicht an die einzelnen Rechner ran.

Aber nimm auch triebswerks Anmerkungen ernst!

 

Christoph

@threadschreiber

 

Überlege dir zuerst doch nochmal ob das wirklich so Sinn macht bei einer Schule ?

Denn du machst sonst jeden 2 Tag alle Rechner neu !!!

Ich betreue auch eine Schule und wenn Du das machst, hast Du ne menge Arbeit und musst hinterher wieder an jeden Rechner!

Was willst Du denn bezwecken mit den lokalen Adminrechten?

Hallo,

 

Die Diskussion möchte ich mal verfolgen.

 

für eine Schule sollte eigentlich das Motto gelten "Nach dem nächsten Boot ist alles wieder gut".(Volker Rüddigkeit)

 

http://help.bildung.hessen.de/support/techhilf/boot/boot

 

Mit dem Einsatz von PC-Wächter etc. kann man die User alles machen lassen, nach dem nächsten Boot ist alles wieder im Originalzustand.

 

Ansonsten kennt man bei administrativen Rechten der Benutzer die Installation nach kurzer Zeit nicht mehr wieder.

 

Gruß

 

Edgar

muss ich an die lokalen Rechner dran. Das versuche ich ja grad zu umgehen!!! kann man das nicht alles serverseitig einstellen?

Bei einer funktionierenden Domäne (2k, 2k3) werden die Einstellungen der Gruppenrichtlinien auf einem DC vorgenommen. Beim Neustart bzw. Anmeldung werden die Richtlinien vom Client übernommen. Ein Bearbeiten der lokalen Gruppenrichtlinien am Client ist nicht nötig.

@Edgar

PC-Wächter-Karten..... schön und gut aber wo bleibt das Administrieren????

Wenn ich solch eine Karte im Rechner stecken habe kann das Administriren vergessen, weil ich den Rechner erst in den Adminmodus starten muss um was zu ändern!

Ich kann keine:

- Softwareverteilung

- SUS- Updateverteilung

- Berechtigungen durch GPO

usw usw

Mit so einer Karte wird man zun Tunschuhadmin!

 

Ist nur meine Meinung.

@legf

 

Das Motto "Nach dem nächsten Boot ist alles wieder gut" sollte wirklich für alle Schulen gelten.

 

Die meisten Musterlösungen verlangen oder gestatten das ja.

 

 

Und wenn man je eine Ausnahme machen muss ? Dann sowenig Rechte wie möglich.

 

 

@threadschreiber

 

Wenn du das machst ? Wirst du zum Turnschuhadmin und setzt die Rechner wirklich jeden Tag neu auf.

Die Rechner haben alle PC Wächter Karten.......desshalb auch die Adminrechte.....

Das hatten die Rechner in der Schule die ich betreue auch, wie ich schon sagte **hatten**.

Als erstes habe ich die rausgeschmissen und alles über Berechtigungen bzw. Richtlinien gelöst!

Wenn ein Programm lokale Adminrechte braucht habe ich das in der Registry eingerichtet und den veränderten Schlüssel kann man auch über eine GPO verteilen!