Eingeschränkter Admin Account

[LukyLas 10]

Hallo Zusammen,

 

Ich versuche und suche aber kriegs nicht hin... :confused:

 

 

Follgendes:

 

Mit dem ausrollen von Windows7 plane ich, endlich die lokalen Adminrechte von allen Clients verschwinden zu lassen. (Wird auch höchste Zeit, ich weiss...) Es stellt sich allerdings das Problem, dass einige, vorwiegend aus der Softwareentwiklung, nicht auf Adminrechte verzichten können, da Sie zum Teil täglich SW installieren müssen o.ä.

Damit diese User wenigstens bei den alltäglichen Arbeiten nicht auch Adminrechte benötigen, dachte ich mir follgendes.

 

Ich erstelle ein DomänenUser, welchen ich jeweils bei den WS als lokalen Admin definiere. Da ich das Passwort den wichtigsten Usern mitteilen möchte aber auf jeden Fall verhindern will, dass andere mit diesem Account anfangen zu arbeiten wollte ich wie follgt vorgehen.

 

Ich wollte das Login über die GPO "Deny log on locally" verhindern, dachte mir aber, dass ich mit diesem User nach wie vor über "Run as different user" eine Installation als Admin starten kann, was leider nicht der Fall ist.

 

Sowohl beim Login (was ich will)

wie auch beim Installationsversuch (was ich nicht will) kommt die Meldung:

 

"Logon failure: The user has not been granted the requested logon type at this computer"

 

 

Hat vieleicht einer von Euch ne zündende Idee, die mein Problem lösen könnte?

 

Danke im Voraus für Eure Mithilfe.

MFG

 

Euer Lukylas

[Frazer82 11]

Morgen,

 

wie oft müssen die Nutzer den was installieren? Wie wäre es mit zwei Accounts einmal normaler User und einmal Admin User?

 

Gruß Nico

[LukyLas 10]

Anfangs war dies der Plan.

 

Ich befürchte aber, dass die User sich dan, weils Unumständlicher ist, prinzipiell nur noch mit dem Admin Account anmelden werden.

 

Deshalb die Idee, ein user anzulegen, welcher sich nicht an der Workstation anmelden kann, dennoch aber die Möglichkeit hat mit "Run As..." Programme zu installieren.

 

 

Bin zwischenzeitlich auf die Idee gekommen, ein Startscript zu hinterlegen, welches den User gleich wieder ausloggt.

War schon total zufrieden damit, bis mir auf- / einviel, dass diese natürlich dann im Offlinebetrieb nicht ausgeführt werden.

 

MfG

Lukylas

[Frazer82 11]

Hy,

 

naja die Admins Account soweit einschränken das sie nur installieren dürfen und nichts weiter. Bei mir ist es genauso habe einen ADM Account und einen normalen, weil der ADM nur für bestimmte Sachen zuständig ist die getrennt sein müssen vom normalen.

 

Gruß Nico

[samsam 14]

Moin LukyLas,

 

Mit Psexec können Users Software installieren, ohne Admin Recht!!!

 

Let Users Install Software Without Administrator Rights

 

mfg

[carlito 10]

Mit Psexec können Users Software installieren, ohne Admin Recht!!!

 

Das stimmt so nicht, denn

Let Users Install Software Without Administrator Rights

 

die dort beschriebene Methode ist nichts anderes, als eine manuelle Remote Installation von einem Admin User/PC aus. D.h. man muss jedes mal auf einen Admin zurückgreifen.

[samsam 14]

@carlito

 

Ja, Du hast Recht. Danke für korrigieren.

 

mfg

[NilsK 2.786]

Moin,

 

wie wäre es, den Entwicklern VMs einzurichten, die nicht in der Domäne sind?

 

Gruß, Nils

PS. Einen Admin so einschränken, dass er nur Software installieren, aber sonst nichts tun kann, ist technisch unmöglich. Ein Admin ist ein Admin ist ein Admin.