Jump to content
Sign in to follow this  
Kyro

Lokale Benutzergruppen der Clients per Policy bestimmen?

Recommended Posts

Tja, wo soll ich anfangen - "mein" Server steht jetzt seit gut 4 Monaten und verrichtet brav seine Arbeit - jedoch ist heute wiedermal eine weitere Gruppen hinzugekommen die im Prinzip nebenstehend zu Domain Admins läuft (nennen wir sie mal Install Admins)

Nun möchte ich per Policy (falls Möglich) den Clients sagen, dass es einen neuen Member der lokalen Gruppe: Administratoren gibt.

(den key selbst gäbe es ja in der registry [hklm\sam\sam\...])

 

Wäre dankbar für Vorschläge, oder Alternativen, die meinem Prob nahe kommen würden!

 

Das ganze soll natürlich funktionieren, dass der User "Install Admins" nicht Member von Domain Admin ist!

Share this post


Link to post

Ich kann dein Problem nicht so ganz nachvollziehen?

Wieso willst du einen "Domänen-Install-Admin" als lokalen User auf dem/den Client/s bekanntmachen bzw. einrichten? Wären doch eh zwei verschiedene Konten (ein Domänekonto, mehrfache Lokalkonten pro Client). Geht's da jetzt nur drum, dass auf den Clients nachträglich was mit "Install-Admin"-Rechten installiert wird? Dafür reicht doch die Install-Admin-Domänenanmeldung.

 

Thomas

Share this post


Link to post

der install-admin soll keine domänen-admin rechte haben! sondern ist nur eine gruppe die den usern auf den clients ermöglicht da was drauf zu installieren.

 

also, sorry, für meine dumme ausdrückung, dass der "neben" domain admin läuft!

Share this post


Link to post

Ich weiss ja nicht, wieviel Clients du so unter dir hast und in welcher Branche du administrierst. Aber...

Für die meissten Installationen benötigt man Adminrechte, ob lokal oder Domäne ist erstmal egal. Jetzt könntest du ja den auf jeden Client vorhandenen lokalen Administrator soweit deinen Usern "bekanntmachen", dass sie mit diesem installieren können.

2. Aber...., denkst du dass das eine gute Idee ist, den User Installrechte einzuräumen? Wäre es da nicht lohnender darüber nachzudenken, ob du als Ober-Super-Domäne-Admin-Guru nicht vielleicht bei Bedarf Installationen (remote) vornimmst?

Also, ich bin da sehr skeptisch, (unbedarften) Usern Installrechte zu verleihen.

 

Thomas

Share this post


Link to post

Unbedarfte User ;)....

nene, die Gruppe ist im prinzip nur für 3 leute....

die rechte haben sollen auf den clients was zu installieren....

das netzwerk besitzt bloss einen Server (worüber ziemlich viele services laufen, also DC, DNS, i-net, fileserver, printserver, access, asp, usw usw)

nur sollen diese 3 leute keine admin rechte am server besitzen, eben bloss lokale admin rechte auf den clients....

insgesamt im netzwerk sind auch nur 18 clients dran....

(und pro clients 1 - 2 user [wegen Wechseldienst]).

 

Remote die Software per msi zu verteilen - tja, es gibt leider nicht zu jeder software msi files :(

 

und selbst wenn - das ist gar nicht so erwünscht

 

Vielleicht eine Idee, das ganze per policy oder logon script (gibts schon eines - also müsste nur erweitert werden) einzubringen?

Share this post


Link to post

Hallo,

 

Leg im AD eine Gruppe z.B "lokalAdmins" an.

Laufe zu deinen 19 Maschienen und füge diese Gruppe der lokalen Gruppe der Administratoren hinzu.

 

 

mfg

 

BigTOM

Share this post


Link to post

und genau das will ich verhindern, dass ich jetzt zu den maschinen selbst hingehe, und die gruppe lokal als admin hinzufüge!!!

 

Geht das nicht dass man das den clients per policy sagt?

Share this post


Link to post

Hallo,

 

das geht mit eingeschränkten Gruppen über GPO.

Da bin ich im moment auch dran:

 

http://www.mcseboard.de/showthread.php?s=&threadid=10558&highlight=eingeschr%E4nkte+gruppen

 

Leider funktioniert das bei mir nicht im Moment noch nicht 100%ig. Habe deswegen auch einen Thread hier aufgemacht:

 

http://www.mcseboard.de/showthread.php?s=&threadid=19002

 

Gruß

Hotte

Share this post


Link to post

Hallo,

 

da wir jetzt "des Pudels Kern" haben -- siehe Betreff :-)

Information ist das a und O in der Informatik

 

 

Sind die eingeschränkten Gruppen natürlich die Lösung.

 

Das Verfahren funktioniert natürlich nur, wenn auch Computerobjekte in der OU, auf die die Richtlinie angewand wird, sind.

 

Scripting ist auch ne nette Lösung, mann muss halt nur beachten "wer" das Script dann ausführt und auch die entsprechenden Rechte besitzt. (Userobjekt).

 

greetings

 

BigTom

Share this post


Link to post

hmm also policy weiss ich nicht, du kannst aber unter active directory benutzer- und computer dir die einzelnen clients unter computer anzeigen lassen und dort die lokale user datenbank editieren.

ist zwar nicht ganz so bequem wie ne policy, aber zumindest kannst du sitzen bleiben und musst nicht aufstehen um zu jedem client zu laufen :-)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...