Jump to content

spezieller Adminuser


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben das Problem, dass einige Kollegen selbständig Software installieren müssen, ohne dass Sie die lokalen Adminrechte mit ihrem standartaccount bekommen. D.h. sie sollen, wenn sie nach einem adminname+passwort gefragt werden, einen separaten account nutzen, den sie jedesmall erneut eintippen müssen. wie kann ich verhindern, dass sie sich gleich beim anmelden mit dem sep. Adminaccount an der maschine anmelden und somit die vollen adminrechte haben?

Danke.

 

 

Link zu diesem Kommentar

Hallo zusammen,

 

für dein Anliegen habe ich eine Lösung.

 

1. Erstelle im AD einen Benutzer mit normalen Berechtigungen (Domänen-Benutzer). Setze unter dem Reiter "Konto" unter "Anmelden an" die Einstellung "Folgenden Computern". Lasse dabei die Karteikarte leer.

2. Erstelle eine GPO (Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen). Erstelle die Gruppe der "Administratoren". Achtung! Hier wird die lokale Administratorengruppe überschrieben, also Vorsicht walten lassen. Füge den "Administrator" (den lokalen!!), die "Domänen-Admins" und eben deinen gewünschten Benutzer ( oben erstellt ) hinzu.

 

Nun hast du einen Administrator Benutzer, der sich aber nicht an dem Rechner anmelden darf. Durch die Gruppenrichtlinien (evtl. mit Gruppenmitgliedschaften ) kannst du dann einstellen für welche Computer die Richtlinie angewendet werden soll.

 

Gruß

Jan 

bearbeitet von MurdocX
Link zu diesem Kommentar

ok.. wenn der Admin sich lokal wiederum ein Admin-Konto anlegt, dies den lokalen Administratoren hinzufügt, kann er sich interaktiv anmelden. Bis die Gruppenrichtlinien dies wieder überschreiben. Ja es gibt immer Wege :rolleyes:  Fragt sich nur ob ein Otto-Normal-User das auch hinbekommen würde :)

 

Den Deckel auf den Topf finde ich hier sonst nicht ;)

Link zu diesem Kommentar

Moin,

 

falls wirklich der User eine Installation oder ein Update durchführen muss, wie wäre es mit Ausführen als .......

 

http://support.microsoft.com/kb/225035/de

 

Ansonsten, falls paketierte Software vorhanden,  http://technet.microsoft.com/de-de/library/cc738858

 

Oder man schaue sich an WSUS, LUP!

bearbeitet von lefg
Link zu diesem Kommentar

Hallo Daniel,

 

ja, das ist wohl so, käme aus meiner Sicht aber dem Wunsch des TO nahe.

 

........Software installieren müssen, ohne dass Sie die lokalen Adminrechte mit ihrem standartaccount bekommen. D.h. sie sollen, wenn sie nach einem adminname+passwort gefragt werden, einen separaten account nutzen, den sie jedesmall erneut eintippen müssen. w

 

Der TO äussert sich nicht dazu, warum das so gewünscht wird. Ich kann mir vorstellen, es handelt sich um Entwickler.

 

Eine andere Möglichkeit, die Benutzer sollen Updates durchführen, die automatisch nach Anmeldung an einer Webplattform angeboten werden und durchgeführt werden müssen, sonst geht es nicht weiter, kein Zugriff auf die DB. Ich habe solch einen Fall an einer Menge x Rechner. Ich habe dann der Benutzergruppe Zugriff verschafft auf das Installationverzeichnis des Programmes. Ein Manipulieren der Berechtigung auf Registrykey war in diesem Fall nicht nötig. Ich hätte gerne eine andere, eine besser kontrollierbar Möglichkeit gewählt, die Leute mussten aber arbeiten können.

bearbeitet von lefg
Link zu diesem Kommentar

Eine andere Möglichkeit, die Benutzer sollen Updates durchführen, die automatisch nach Anmeldung an einer Webplattform angeboten werden und durchgeführt werden müssen, sonst geht es nicht weiter, kein Zugriff auf die DB. Ich habe solch einen Fall an einer Menge x Rechner. Ich habe dann der Benutzergruppe Zugriff verschafft auf das Installationverzeichnis des Programmes. Ein Manipulieren der Berechtigung auf Registrykey war in diesem Fall nicht nötig. Ich hätte gerne eine andere, eine besser kontrollierbar Möglichkeit gewählt, die Leute mussten aber arbeiten können.

Da würde ich den Betreiber des Webportals ansprechen und ihn auf die unmögliche Art und Weise hinweisen.

 

Alternativ das Programm als Admin downloaden und mit Hilfe von WSUS und WPP auf den betroffenen Clients zur Verfügung stellen.

Link zu diesem Kommentar

Da würde ich den Betreiber des Webportals ansprechen und ihn auf die unmögliche Art und Weise hinweisen.

 

Alternativ das Programm als Admin downloaden und mit Hilfe von WSUS und WPP auf den betroffenen Clients zur Verfügung stellen.

 

Nein Sunny, auch Du spaechest in dem Fall niemanden an, auch Du hieltest den Dienstweg ein und befolgtest die dir erteilten Befehle. :)

 

Es gab und gibt dort keinen WSUS und keinen WPP, auch die kønnten das Update nicht zur Verfuegung stellen, denn sie hætten es nicht.

bearbeitet von lefg
Link zu diesem Kommentar

Nein Sunny, auch Du spaechest in dem Fall niemanden an, auch Du hieltest den Dienstweg ein und befolgtest die dir erteilten Befehle. :)

 

 

Befehle erteilt mir niemand, das mag bei der BW so sein, hier jedenfalls nicht.

 

Der Dienstweg wäre es dann sicherlich auch nicht, wie von dir durchgeführt, die Sicherheitseinstellungen von Windows zu manipulieren. Das ist sicherlich kein 'Dienstweg'.

Es gab und gibt dort keinen WSUS und keinen WPP, auch die kønnten das Update nicht zur Verfuegung stellen, denn sie hætten es nicht.

Dann wird es Zeit dass Du über den 'Dienstweg' einen WSUS mit WPP anforderst. :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...