Jump to content

Rechte per AD verteilen/Vergeben

orkon

Von orkon
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

orkon Experienced

orkon   12

Geschrieben
Geschrieben

Hi,

 

ich habe mal ne Frage zu der Rechtevergabe im AD.

Und Zwar, haben wir eine Dömane mit mehren Clients, ich würde gerne einen User Rechte geben das er Programme installieren darf, so wie ne Art "lokaler" Admin.

Gibts da ne Möglichkeit das einfach umzusetzen?

Ich will nicht wirklich den User das lokale pw für den Admin geben

 

danke im voraus

 

Orkon

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Und Zwar, haben wir eine Dömane mit mehren Clients, ich würde gerne einen User Rechte geben das er Programme installieren darf, so wie ne Art "lokaler" Admin.

 

Gibts einen trifftigen Grund dafür? Admin ist Admin ist Admin ist Admin. Der User kann dann alles am Client machen. Ist natürlich das gefährlichste was Du machen kannst.

 

Gibts da ne Möglichkeit das einfach umzusetzen?

 

Ja, gibt es.

 

Ich will nicht wirklich den User das lokale pw für den Admin geben

 

Welchen Unterschied macht es, ihm lokale Adminrechte zu geben oder ihm das Passwort zu geben?

 

Das Sichheitsrisiko ist in beiden Fällen gleich groß.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Es ist nicht möglich, ein Privileg "Software installieren" zu vergeben für einen Benutzer. Software installieren darf ein Mitglied der Gruppe der Administratoren, bei der Gruppe der Hauptbenutzer weiss ich es nicht.

 

Nun könnte man einen Benutzer der Gruppe der lokalen Administratoren hinzufügen, er kann dann Software installieren mit Anmeldung seines Accounts, ohne Kenntniss eines Adminístratorpasswortes. Mit der Gruppe der Hauptbenutzer sollte man das mal ausprobieren.

 

Mit der Zugehörigkeit zur Gruppe der lokalen Administratoren hat der Benutzer die volle Kontrolle über den Rechner: Rechnername, Netzwerkprotokoll, die Firewall, den Virenscanner.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
.....leider wird die Gruppe "Hauptbenutzer" nicht erstellt .....
Wo sollte auch eine Gruppe Hauptbenutzer erstellt werden, im AD? Das ist nicht möglich. Diese Gruppe gibt es nur auf den Workstation in der lokalen Benutzerverwaltung. Solch einer Gruppe muss der gewünschte Benutzer direkt oder indirekt über eine seiner Gruppen hinzugefügt werden. Das geschieht prinzipiell auch per eingeschränkte Gruppen. Ich habe das mal mit der von Grizzly999 hier am Board veröffentlichten Anleitung erfolgreich durchgeführt?
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben
ich hätte auch das so verstanden das diese automatisch erstellt wird wenn der User sich anmeldet.

 

Nein, die Gruppe Hauptbenutzer ist eine lokale Benutzergruppe. Die hat mit dem AD nichts zu tun.

 

Ich werd das Gefühl nicht los, wir doktern hier an irgendwas rum, das Problem ist aber vermutlich ein ganz anderes. Raus mit der Sprache, was genau willst Du denn erreichen? Funktioniert bestimmte SW nicht, wenn der Benutzer keine Adminrechte hat? Wenn ja, dann arbeite dich hier durch: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

 

Willst Du automatisch SW auf den Clients installieren, aber nicht zu jedem hinlaufen und weißt nicht wie man das macht? Wenn ja, dann lies dieses HowTo: Service Pack Installation über die Softwareverteilung

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.810

Geschrieben
Geschrieben
Es ist nicht möglich, ein Privileg "Software installieren" zu vergeben für einen Benutzer. Software installieren darf ein Mitglied der Gruppe der Administratoren, bei der Gruppe der Hauptbenutzer weiss ich es nicht.

 

Richtig, es gibt kein Recht "Software installieren". Denn auch als User kann man Software installieren wenn die Softwareentwickler wissen was sie tun, oder eben nicht wissen was sie tun. ;)

 

Nun könnte man einen Benutzer der Gruppe der lokalen Administratoren hinzufügen, er kann dann Software installieren mit Anmeldung seines Accounts, ohne Kenntniss eines Adminístratorpasswortes. Mit der Gruppe der Hauptbenutzer sollte man das mal ausprobieren.

 

Hauptbenutzer ist quasi Admin. Wer das freiwillig macht hats nicht anders verdient. ;)

 

Bye

Norbert

Link zu diesem Kommentar
orkon Experienced

orkon   12

Geschrieben
  • Autor
Geschrieben

Gerne erläutere ich es genauer.

 

Wir haben eine Schule, die in einer Domäne ist. Server 2003 und XP-Clients.

Wir haben IT-Lehrer die gerne Software installieren wollen(kein Ding in der Regel da wir ein Imageverfahren anwenden)

Das Problem ist halt, das sie als Benutzer nicht alle Programme installieren können weil diese gewisse Rechte benötigen sei es Schreibrechte auf C oder in der Registry.

Nur ist es nicht sinn der Sache den Lehrern REchte eines Admins zu geben sei es lokale oder sogar welche in der Domäne.

Das ist mein Problem was ich habe.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...