Jump to content
Sign in to follow this  
ADAC28

Passwort f. lokalen Admin / Domain Benutzer

Recommended Posts

Hi u. Hallo,

 

 

ich würde gern einem Benutzer "lokale Admin-Rechte" geben , soweit kein Problem.

Aber, dieser User ist in der Domain-weiten Umgebung nur "Benutzer".

 

Lege ich einen lokalen User an, muss ein Passwort hinterlegt werden.

Das Passwort wäre dann ein Neues und würde mit der Domain-Anmeldung nicht übereinstimmen. :confused:

 

Oder muss ich dem User eine Aufforderung senden, ein neues Passwort zu wählen ?

 

-------------

- Server 2003

- Client-PC XP(SP2)

- lokale Profile / Domain-Anmeldung (globale AD)

 

 

Danke für eine Antwort.

 

------------------------

bye James

Share this post


Link to post
Share on other sites
Hi u. Hallo,

 

 

ich würde gern einem Benutzer "lokale Admin-Rechte" geben , soweit kein Problem.

Aber, dieser User ist in der Domain-weiten Umgebung nur "Benutzer".

 

Ja und? Steck den User in die lokale gruppe der Administratoren auf diesem PC. Ich persönlich würde das nicht tun. User die Adminrechte haben machen den meisten Stress.

 

 

Lege ich einen lokalen User an, muss ein Passwort hinterlegt werden.

Das Passwort wäre dann ein Neues und würde mit der Domain-Anmeldung nicht übereinstimmen. :confused:

 

Ja. Beschäftige dich mit dem Unterschied zwischen lokalen und Domänenkonten und deren Zusammenspiel ;)

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hi James,

 

um einem Benutzer lokale administratoren Rechte geben zu können brauchst du keinen lokalen Benutzer. Du kannst jedem in der Domäne die entsprechenden Rechte zuweisen. Melde dich dafür am besten als Admin an dieser Workstation an und gehe dort in die MMC Lokale Benutzer und Gruppen.

 

Viele Grüße

Share this post


Link to post
Share on other sites

Ja und? Steck den User in die lokale gruppe der Administratoren auf diesem PC. Ich persönlich würde das nicht tun. User die Adminrechte haben machen den meisten Stress.

Ja und Nein. Admin-Rechte werden nur zu einem bestimmten Zeitfenster, nach Absprache, gewährt.

(also, keine permanenten Admin-Rechte)

 

 

Ja. Beschäftige dich mit dem Unterschied zwischen lokalen und Domänenkonten und deren Zusammenspiel ;)

Oh ja - Schreibst du. Also muss ich die Passworte identisch bekommen !?

Wirf mir doch mal bitte einen Link zu.

 

Das Ziel wird sein ; Remote auf dem PCs die User mit Admin-Rechte

versehen, und das ganze wird nach wenigen Minuten wieder gecancelt.

 

Habe ich denn eine elegantere Lösung in Aussicht ?:D

Share this post


Link to post
Share on other sites

Moin,

 

Ja und Nein. Admin-Rechte werden nur zu einem bestimmten Zeitfenster, nach Absprache, gewährt.

(also, keine permanenten Admin-Rechte)

 

wenn der User Admin ist, kann er sich z.B. ein zusätzliches Adminkonto anlegen. Da wird es, wenn er pfiffig genug ist, schwierig, ihm die Adminrechte wieder zu nehmen.

 

Das Ziel wird sein ; Remote auf dem PCs die User mit Admin-Rechte

versehen, und das ganze wird nach wenigen Minuten wieder gecancelt.

 

Das ist erst mal kein Ziel, sondern eine Technik. Mit dieser Technik willst du ja irgendwas erreichen - nur was, hast du bislang nicht kundgetan.

 

Habe ich denn eine elegantere Lösung in Aussicht ?:D

 

Das hängt entscheidend davon ab, was du eigentlich vorhast.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

In einer ADS werden Rechte und Berechtigungen nach dem Prinzip "AGDLP" vergeben (Account --> GlobalGroups --> Domainlocal Groups --> Permission).

Das bedeutet, dass Du der Einfachheit halber den entsprechenden Domänenbenutzer in der lokalen Computerverwaltung in die Gruppe der Administratoren aufnimmst. Das musst Du aber mit einem für diesen PC Adminberechtigten User erledigen.

Das geht auch remote, wenn Du in deiner lokalen Computerverwaltung einen anderen PC lädst und dann das ganze erledigst. Mit der nächsten Anmeldung des jeweiligen Users hat er dann Adminrechte.

 

BTW: Lass' Dich nicht provozieren, Norbert beißt nicht, er bellt nur gerne mal...;)

Share this post


Link to post
Share on other sites
BTW: Lass' Dich nicht provozieren, Norbert beißt nicht, er bellt nur gerne mal...;)

 

Off-Topic:

wenn du jetzt noch das Geheimnis lüftest, wo Norbert hier gebellt hat ... er hat auf den entscheidenden Unterschied hingewiesen.

 

Verwundert, Nils

Share this post


Link to post
Share on other sites

Hi,

 

wie Nils schon geschrieben hat wäre es vielleicht am einfachsten wenn du uns kurz beschreiben würdest was du mit der Aktion genau vor hast. Vielleicht gibt es ja tatsächlich eine bessere und vor allem sicherere Lösung. Den Benutzern Adminrechte zu geben sollte immer das letzte sein was man in betracht zieht.

 

Viele Grüße

Share this post


Link to post
Share on other sites

@NilsK:

[...]Beschäftige dich mit dem Unterschied zwischen lokalen und Domänenkonten und deren Zusammenspiel ;)

 

Das habe ich gemeint.

Derartige Comments lese ich in letzter Zeit (nicht nur von Norbert!) häufiger. Viele Member springen darauf sofort an und fühlen sich persönlich angegriffen.

Da James noch nicht lange dabei ist (siehe Postcounter), war das rein prophylaktisch...

 

Back2Topic:

 

Es wäre in der Tat gut, wenn Du etwas genauer schildern würdest, was Ihr vorhabt.

Da es unbestritten kritisch ist, einem User Adminrechte zu geben, gibt es vielleicht eine bessere Möglichkeit, um das herauszufinden, benötigen wir aber mehr Input.

Share this post


Link to post
Share on other sites

Derartige Comments lese ich in letzter Zeit (nicht nur von Norbert!) häufiger. Viele Member springen darauf sofort an und fühlen sich persönlich angegriffen.

Off-Topic:

Ja, erstens hab ich die Lösung gepostet (alles was danach kam, waren mehr oder weniger Wiederholungen) und zweitens ist dieser Kommentar sicherlich für den OP sogar hilfreich, denn wenn er den Unterschied zwischen Lokal und Domäne nicht versteht wird es irgendwann brenzlig für ihn.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
@NilsK:

Es wäre in der Tat gut, wenn Du etwas genauer schildern würdest, was Ihr vorhabt.

Da es unbestritten kritisch ist, einem User Adminrechte zu geben, gibt es vielleicht eine bessere Möglichkeit, um das herauszufinden, benötigen wir aber mehr Input.

 

 

OK also vorab, ich bin den langen Weg gegangen und habe die AD um eine

Gruppe erweitert. Nun gibt es " User_lokal_Admins " .

(Für die Gedankenjäger; warum nicht gleich so. Die AD umfasst viele Clients,

sehr viele. Da muss gut überlegt werden ob eine neue Gruppe erstellt wird.

Auch kann das nie ein Admin allein entscheiden)

 

--------------------------

Meine Ziel war und ist ;

 

An anderen Standorten (andere Städte) müssen zwei kleine aber wichtige

" Active-X-Steuerelemente " u. anderer Kleinkram, die nicht durch das System verteilt werden konnten

(der Erbauer war nicht kooberatiev) , eingespielt werden.

Hierzu benötigten die User für die Dauer der Installation, Admin-Rechte.

--------------------------

 

Das war es erst einmal. Ich schreibe THX ! :)

Share this post


Link to post
Share on other sites

Hi,

 

braucht das Active-X wirklich Adminrechte? Ich würde ggf. mal mit dem sysmon schauen welche Dateien etc. angefasst werden. Oft reicht es schreibrechte auf bestimmte Teile in der Registry zu erteilen. Ist auch nicht das Beste, aber um Welten besser als Adminrechte zu verteilen...

 

Viele Grüße

Share this post


Link to post
Share on other sites
(Für die Gedankenjäger; warum nicht gleich so. Die AD umfasst viele Clients,

sehr viele. Da muss gut überlegt werden ob eine neue Gruppe erstellt wird.

Auch kann das nie ein Admin allein entscheiden)

 

 

Umso schlimmer, dass du in einem AD, das sehr viele Elemente umfaßt, auf die denkbar schlechteste Lösung kommst. ;)

Kann man das ActiveX nicht mittels MSI an die PCs verteilen?

 

Bye

Norbert

Share this post


Link to post
Share on other sites
Umso schlimmer, dass du in einem AD, das sehr viele Elemente umfaßt, auf die denkbar schlechteste Lösung kommst. ;)

Kann man das ActiveX nicht mittels MSI an die PCs verteilen?

Bye Norbert

 

Ja leider können die Dateien nicht verteilt werden.

Nur eine Anmeldung an der Web-Site ermöglicht das Downloaden der Daten.

Um Daten einspielen zu können, müssen diese auch vorliegen. Ist aber nicht,

und wird auch nicht.:suspect:

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...