%USERDOMAIN%\%USERNAME% als lokalen admin eintragen

[NorbertFe 1.799]

Das geht nicht, wie dir ja schon geschrieben wurde. Ist halt ein typisches Henne und Ei Problem ;)

Der Computer kann vorher nicht wissen, wer sich anmeldet um ihm für die Anmeldung lokale Adminrechte zu gewähren und der sich anmeldende User ist demzufolge kein Admin und kann sich selbst nicht zum Admin machen ;) Logisch, oder? Bliebe also nur das Ausführen eines Autologins mit einer eigenen Oberfläche in die man seinen Nutzernamen einträgt und die einen dann in die Admingruppe hinzufügt und neuanmelden läßt. Beim Logoff müßte dann der user automatisch wieder entfernt werden. (Da er lokaler Admin ist, kann er das allerdings auch verhindern) Und wenn mich das nerven würde, würde ich mir einfach nen lokalen Adminuser anlegen und den Rest vergessen ;)

 

Bye

Norbert

[jaksa 10]

Und wenn Du die kritischen Anwenungen unter einen anderem Benutzer laufen lässt (Run as...). wenn Dir dass zu ungemütlich ist, dann einen Zweizeiler in AutoIt (oder wenn Du es konfortabel magst, eine kleine Gui in AutoIt?

[ToMMics 10]

ich hab es mit den neuen Client Side Extensions von server 2008 lösen können.

Dort gibt es eine Option unter den Benutzerrichtlininien - Einstellungen - Lokale Benutzer - Authentifizierter Benutzer, welcher eben diesen in dier angegebene Gruppe packt.

 

Zum rausnehmen lasse ich das net localgroup Administratoren %USERDOMAIN%\%USERNAME% /del ausführen. Da diese ja zur Anmeldezeit Admin sind.

 

danke trotzdem für eure Hilfe.

 

für alle die evtl auf diesen Artikel stossen:

 

Verwalten / Editieren kann man die neuen Client Side Extensions nur mit Vista oder Server 2008 und den RSAT (Remote System Administration Tools)

 

Microsoft Remoteserver-Verwaltungstools für Windows Vista SP1 32-Bit Edition (KB941314)

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=9ff6e897-23ce-4a36-b7fc-d52065de9960

 

Microsoft Remoteserver-Verwaltungstools für Windows Vista SP1 64-Bit Edition (KB941314)

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=d647a60b-63fd-4ac5-9243-bd3c497d2bc5

 

Diese Vista Verwaltungsvm muss man in die Domäne heben und sich mit dem Domänen Admin anmelden. Falls man das nicht möchte kann man das Tool auch über RunAs ausführen.

 

RSAT verbindet sich nun mit dem DC und ihr könnt die neuen GPOs editieren. Bei meinen Tests hatte ich das Gefühl, das wenn ich diese GPO wieder ohne RSAT editiere, sprich direkt auf dem DC gehe, die "neuen" richtlinien die der DC selber ja nicht sieht, verloren gehen. Sprich alle Änderungen an der neuen GPO mit den neuen Features nur mit RSAT ausführen.

 

Damit die Clients die neuen Client Side Extensions auch verstehen, müssen sie mit diesem Patch versorgt werden:

http://support.microsoft.com/kb/943729/en-us

Sollte aber auch über WSUS geschehen sein.

[NorbertFe 1.799]

ich hab es mit den neuen Client Side Extensions von server 2008 lösen können.

Dort gibt es eine Option unter den Benutzerrichtlininien - Einstellungen - Lokale Benutzer - Authentifizierter Benutzer, welcher eben diesen in dier angegebene Gruppe packt.

 

OK. Und das funktioniert auch? Nette Sache, auch wenn ichs nicht wirklich gutheißen kann. ;)

 

Zum rausnehmen lasse ich das net localgroup Administratoren %USERDOMAIN%\%USERNAME% /del ausführen. Da diese ja zur Anmeldezeit Admin sind.

 

Und genau deswegen ds Ausführen des Skriptes auch verhindern können.

 

Bye

Norbert

[nobex 10]

Die Computerstartscripte laufen m.E. doch vor der Anmeldung.

[NorbertFe 1.799]

Die Computerstartscripte laufen m.E. doch vor der Anmeldung.

 

Genau. Und deswegen guckt der Computer vorher durch die Webcam und schaut wer vor ihm sitzt und sich gleich anmelden will ;)

 

SCNR

Norbert

[nobex 10]

Ups, hab ich doch die ganze 2. Seite der Diskussion übersehen *schäm*

:(