Jump to content
Sign in to follow this  
SaschaVolk

Admin für Software Installation Client PCs

Recommended Posts

Hallo

 

Ich würde gerne einem Kollegen rechte in der Domäne vergeben dass er Software auf Client PCs installieren, deinstallieren , Drucker hinzufügen usw darf. Möchte Ihn aber ungern in die Gruppe Domäne Admin reinnehmen. Kann mir da jemand ein paar Tips geben wie ich da am besten vor gehe. 

 

 

Share this post


Link to post
Share on other sites

Hi,

 

erstelle im AD eine Gruppe "ClientAdmin" und pack diese, händisch oder per GPO, in die Gruppe der lokalen Administratoren der Client PCs.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Danke dir . Da habe ich wieder zu kompliziert gedacht. Wie geht ihr den mit lokalen Admin Rechten um bei Usern die teilweise Software unterwegs installieren müßen ?? Bei zb Techniker die bei Kunden Vor Ort sind . Die müßen ja auch teilweise die IP Adresse ändern können, Steuersoftware installieren und noch diverse andere dinge .

Share this post


Link to post
Share on other sites

Der Domänenadmin heißt übrigens DOMÄNENadmin, weil er die Domäne administriert und NICHT die PCs. Leider viel zu oft wird das aber nicht so gehandhabt.

Share this post


Link to post
Share on other sites

Und welches Konzept würdest du vorschlagen. Für die administration an den Clients einen eigene Admin User anlegen der in der Gruppe der Lokalen Admins ist und nur mit dem an den Clients arbeiten ??

Share this post


Link to post
Share on other sites

Moin,

 

genau. Wie auch der erste Vorschlag schon sagte.

 

Genauer: Eine Gruppe, die das kann. Und in diese Gruppe einen separaten Admin-User für jeden Mitarbeiter, der das können soll. Separat zum normalen Account.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Wenn es etwas flexibler sein darf: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Setzen wir grad im Enterprise-Umfeld "gaaaaanz langsam" um - und funktioniert prima. Jeder, der das einmal verstanden hat, kommt damit klar.

Was ist Dir an dem managedBy unklar?

BTW: Die Domain Admins haben in den lokalen Admins auf Clients NICHTS verloren, die kriegen einen expliziten "Deny" auf Interactive Logon. Der Artikel von Miriam ist technisch korrekt, aber einige Jahre hinterher.

  • Thanks 2

Share this post


Link to post
Share on other sites

Nils, nicht nur pfiffitsch, sondern auch extrem störungsfrei. Großer Vorteil: Last Writer wins ist ausgehebelt, Du kannst jederzeit "unten" weitere Member dazunehmen. Das hat uns mit RG schon heiße Stunden beschert, wenn oben plötzlich ein neuer Account für irgendwas berechtigt werden mußte, wo unten schon in spezifischen GPOs Accounts berechtigt waren...

  • Thanks 1

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...