Jump to content

User zu lokalem Admin machen per AD?

NullDevice

Von NullDevice
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NullDevice Fellow

NullDevice   10

Geschrieben
Geschrieben

Hallo,

 

Wir müssen einen User zum lokalen Admin machen auf den Clientrechnern.

Er ist quasi der Ferialpraktikant ohne Domain-admin Rechte, bzw. Rechten am server. Jedoch soll er zB. den Usern Office-support auf ihren lokalen Rechnern geben, bzw Software installieren dürfen.

 

Ich weiss dass es Möglich ist, per Gruppenrichtline od. AD irgendwie User zu Lokalen Admins innerhalb einer OU zu machen.

 

Hab das hier gefunden:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Jedoch steht hier auch, dass die Einstellung alle bereits bestehenden Mitgliedschaften in den lokalen Gruppen auf den Clients entfernt. Zumindst wenn ich das richtig verstanden habe.

 

Somit würde das ja bedeuten, dass der lokale bestehende Admin, nicht mehr zB. in der Gruppe "PC-27\Administratoren" wäre. Das wäre schlecht.

 

Gibt es hierfür eine besser Lösung oder irgendeinen Workaround? Bzw was macht ihr in so einem Fall? Oder arbeitet ihr hier mit Delegations?

 

lg, ND

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.795

Geschrieben
Geschrieben

Moin,

 

Wir müssen einen User zum lokalen Admin machen auf den Clientrechnern.

Er ist quasi der Ferialpraktikant

 

ein Praktikant sollte keine Adminrechte haben.

 

ohne Domain-admin Rechte, bzw. Rechten am server

 

Wenn er wirklich will und lokale Adminrechte hat, dann wird er sich in kurzer Zeit zum Domänenadmin machen können. Es wäre also ggf. eine gute Idee, ihn zumindest zu beaufsichtigen. Oder ihr denkt noch mal nach, ob für den Support nicht Userrechte ausreichen und die Softwareinstallation jemand anders macht.

 

Jedoch steht hier auch, dass die Einstellung alle bereits bestehenden Mitgliedschaften in den lokalen Gruppen auf den Clients entfernt. Zumindst wenn ich das richtig verstanden habe.

 

Dann hast du nicht weit genug gelesen. Es steht auch ein Weg dabei, wie man das Problem umgeht.

 

Gruß, Nils

Link zu diesem Kommentar
Stefan W Mentor

Stefan W   14

Geschrieben
Geschrieben

Hi,

die Anleitung passt schon

 

AD Gruppe erstellen, in der alle User die die lokalen Adminrechte benötigen drin sind

 

Neue GPO die auf die betroffenen PCs angewandt wird (zB mit WMI Filter)

bei richtlinien - windows einstellungen - sicherheitseinstellungen - eingeschränkte gruppen mit rechten Maustaste Gruppe hinzufügen - die besagte gruppe auswählen

und bei "diese Gruppe ist mitglied von" - "administratoren" eintragen.

 

das gleiche Sicherheitshalber mit den Domainadmins machen (wir hatten den Fall, dass MA mit adminrechten, den Domainadmins die Adminrechte entzogen hatten)

 

die bestehenden Mitglieder der Gruppe bleiben bestehen

lg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...