Serverwolf 10 Geschrieben 28. März 2012 Melden Geschrieben 28. März 2012 Hallo zusammen Mir ist bei diversen Installationen von Domänen unter W2k8(R2) aufgefallen das der vom Windowssetup erstellte Administrator mehr Rechte hat als ein Administrator den man nachträglich selber erstellt hat. Sowohl der neu angelegte Domänenadministrator (ich nenn den jetzt mal "Admin-Neu") als auch der vom System angelegte "Administrator" sind in den gleichen Gruppen Mitglied. (Administratoren, Domänen-admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer, Schema-Admins). Zwei Punkte bei denen man das überprüfen kann: 1. Man meldet sich mit dem "Admin-Neu" aneinem DC oder Memberserver an, öffnet eine Eingabeaufforderung und gibt "ipconfig /registerdns" ein. Als Ergebnis kommt dann: "Der angeforderte Vorgang erfordert erhöhte Rechte" Wenn man mit dem "Original"-Administrator angemeldet ist - geht es aber. 2. Man startet eine Eingabeaufforderung "Als Administrator ausführen". Bei dem "Admin-Neu" kommt dann die Benutzerkontensteuerung und fragt ob man das zulassen möchte. Mit dem "Original"-Administrator kommt die UAC nicht. Woher kommen diese unterschiedlichen Rechte? Und wie kann ich einem neu erstellten Domänenadmin die gleich hohen Rechte geben? Wie gesagt, dieses Verhalte ist mir bei diversen Domänen aufgefallen, die untereinander nichts miteinander zu tun haben. Mach ich da jeweils einen Fehler oder ist das "by design"? Schon mal Danke für alle Hinweise Serverwolf
Stefan W 14 Geschrieben 28. März 2012 Melden Geschrieben 28. März 2012 was passiert wenn du den domänenintegrierten (durchwindows setup erstellten) Administrator umbenennst? Passiert dann das gleiche wie bei einem "nächträglich angelegten" Admin oder das gleiche wie vor dem Umbenennen? lg Stefan
IThome 10 Geschrieben 28. März 2012 Melden Geschrieben 28. März 2012 Nachträglich erstellte Administratoren haben nicht weniger Rechte, für sie gilt nur per Default die Benutzerkontensteuerung bzw. der Administratorbestätigungsmodus ... Das ist eine Richtlinie, die so voreingestellt ist ...
jarazul 10 Geschrieben 28. März 2012 Melden Geschrieben 28. März 2012 Die besagte Richtlinie heißt User Account Control: Use Admin Approval Mode for the built-in Administrator account Wenn du diese auf Enabled setzt (Std: Disabled) muss auch der built-in Administrator UAC nutzen um ein elevated Token zu erhalten.
Serverwolf 10 Geschrieben 29. März 2012 Autor Melden Geschrieben 29. März 2012 Danke Euch! Das mit den Richtlinien für den build-in Administrator war mir bisher nicht bekannt. Jetzt kann ich das unterschiedliche Verhalten nachvollziehen. bzw. mit den Richtlinien steuern. Gruß Serverwolf
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden