Jump to content
bennebaer

Lokale Admin Rechte unter AD

Recommended Posts

Hallo Forum,

 

ich muss für ein Programm lokale Admin-Rechte vergeben, da es sich sonst nicht starten lässt.

Der entsprechende Benutzer hat die folgenden Berechtigungen.

grafik.png.e8d2190699eda9be18a5934f0f651043.png

 

Die Grp-LokaleAdminsaufClient sieht so aus:

 

grafik.png.8403b250aa7bedce3ee675d18f8cec67.png

 

Die Gruppenrichtlinie:

grafik.thumb.png.8b58ee4fa341b1b8654098f0156f5bfb.png

 

Wenn ich das Programm nun starte und als Benutzer einen User der Grp-LokaleAdmins... eingebe, erscheint dies Fenster mit der Meldung:

grafik.png.714d24233fa24f4b047f8c8e108fdf86.png

Alle lokalen Benutzerkonten des User habe auch Admin-Rechte.?!?!

Was mache ich falsch oder wie kann ich testen ob es nun an den Rechten oder doch an etwas anderes liegt?

P.S.: Bei Anmeldung mit dem Admin Konto des Servers funktioniert es. Der AD User ist auch Mitglied der Gruppe Administratoren.

Share this post


Link to post

Hi,

 

vor 4 Minuten schrieb bennebaer:

ich muss für ein Programm lokale Admin-Rechte vergeben, da es sich sonst nicht starten lässt.

da solltest du evtl. einmal mit dem Hersteller sprechen. Zumal auf deren Homepage unter dem Firmennamen "Software - Sicherhheit - Erfolg" auftaucht. Das hätte dann aber nichts mit den "benötigten" Admin-Rechten zu tun.

 

Ansonsten kannst du den Process Monitor anschmeißen und prüfen an welcher Stelle es klemmt.

 

Gruß

Jan

Share this post


Link to post

Du startest das Programm mit einem anderen Benutzer? Damit ist es aber noch nicht elevated, das kommt erst im zweiten Schritt... Und UAC ist für den Builtin Admin per Default ausgeschaltet. Beschäftige Dich mal 2 Stunden mit UAC und dem restricted und full token :-)

Share this post


Link to post

Hallo Nochmal,

 

mir ist folgendes Aufgefallen.

Vor Einbindung der PC in die Do,öne waren diese als eigenständiger PC eingerichtet (Workgroud). Es war jeweils ein Standard Benutzer eingerichtet, welcher kein Passwort hatte.

Nach der Einbindung der PCs in die AD Domäne, konnte der lokale User immer noch ohne PW aufgerufen werden.

Nachdem ich nun die lokalen Admin Rechte vergeben habe, verlangt auch der Standard lokale Benutzer nach einem Passwort. Natürlich kenne ich das nicht.

Wie komme ich jetzt wieder auf das lokale Profil um z.B. Programmeinstellung, etc. abzurufen?

Share this post


Link to post

Haben die Benutzer den selben Namen?

Wirklich lokale Anmeldung?

 

Wenn ja, kannst Du statt Passwort enter drücken

Share this post


Link to post

Geht das in der Computerverwaltung --> Lokale Benutzer und Gruppen --> Kennwort festlegen

Der Dialog macht mich etwas nachdenklich. Nicht das ich danach gar nicht mehr auf den Benutzer komme :shock2:

 

grafik.png.12fd047a629abdf55e717734bbe67061.png

Share this post


Link to post

Naja das warnt dich davor, dass ggf. mit EFS verschlüsselte Dateien hinterher nicht mehr entschlüsselt werden können. Wenn du EFS nicht nutzt, dann gibts keinen Grund nicht auf "Fortsetzen" zu klicken.

Share this post


Link to post

doch genau so ... und bitte nicht die Administratoren/Buildin verwenden! Damit machst Du den User zum Admin auf allen Kisten in Deiner Domäne inklusive der Server!

 

Wenn er denn wirklich auf seiner Kiste Admin sein soll ... händisch auf dem Rechner den jeweiligen User in die LOKALE Admin Gruppe packen.

 

Wenn ein User/Gruppe auf den Clients Admin sein soll, dann über die Eingeschränkten Gruppen per GPO. Die User in eine Gruppe packen und die Gruppe den Admins hinzufügen ... dann natürlich nur auf die Clients anwenden!

Share this post


Link to post

Ich werde noch verrückt.

grafik.png.87c1a130f4f962ff3626dad1c0399c25.png

Ahh, jetzt habe ich es, Zwar nicht das PW geändert aber es wurde ein anderer lokaler Benutzer vorausgewählt. Mit einem Benutzerwechsel am lokalen PC ging es dann auch ohne PW wieder.

 

Share this post


Link to post

Moin

 

Ob wirklich sogenannte "Adminrechte" nötig? Woran hakt es denn? Ich konnte es mit dem Prozessmonitor verfolgen und fand das Verzeichnis und die Datei. Die Berechtigung auf die Datei geändert und schon waren keine "Adminrechte" mehr nötig.

 

Gegebenfalls schaut man mal beim Hersteller in die FAQ, fragt den Support.

Share this post


Link to post

Hallo Forum,

 

ich muss nochmal auf dieses Thema zurückkommen.

Die bei Gruppenrichtlinie verteilten lokalen Adminrechte funktionieren nicht. Als Workaround habe ich dem AD Benutzer auf dem PC in die Gruppe der lokalen Admins eingefügt.

Nun möchte ich aber doch verstehen warum das nicht per Gruppenrichtlinie klappt. Mir fehlt aber der Ansatz wie ich vorgehe um zu prüfen wo der Fehler liegt.

Hat dazu jemand einen Tipp für mich?

Share this post


Link to post

"Funktionieren nicht" ist keine Situationsbeschreibung, aus der ich eine Diagnose ableiten kann - die Glaskugel ist in Quarantäne... :-)  Hier funktioniert das zigtausendfach problemlos. Du machst also etwas falsch. Jetzt müßte man wissen, WAS Du machst - dann kann man darüber nachdenken, was daran falsch sein könnte.

Share this post


Link to post

Z.B. beim Update einer Software muss immer der AD Admin + Passwort eingegeben werden.

Ein Admin Benutzer auf dem Server wird nicht als Admin Account angenommen und auch nicht die Benutzerdaten des User mit vermeintlichen lokalen Admin Rechten.

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...