Jump to content
DerUser

Intelligentes Konzept - User Admin Berechtigung

Recommended Posts

Guten Abend

 

Ich wollte fragen ob jemand ein Intelligentes Konzept kennt, wie man User so Berechtigt das er nur Admin von seinem eigenen Device wird.

Mit Restricted Group wäre es zum teil machbar, jedoch wäre der User dann Lokar Admin von Devices in der OU.

 

Danke für eure Vorschläge

Share this post


Link to post
Share on other sites

Hi,

 

sei mir nicht böse, aber diese Konzept wäre fernab jeglicher Intelligenz.

Warum sollte der User denn Admin auf seinem eigenen Device sein? Welches Ziel willst du erreichen?

 

Gruß

Jan

Share this post


Link to post
Share on other sites

HI,

 

Gewissen Usern (Entwicklern, Labor Leuten) sollen Admin oder PowerUser werden, damit sie selber Installationen durchführen können.

Diese Leute müssen sehr oft Installieren oder im System was anpassen. Der Aufwand ist dadurch sehr hoch.

 

Ich möchte dadurch erreichen das der Aufwand sinkt, zumindest bei einer kleinen Gruppe :)

 

Danke nochmals 

 

 

 

Share this post


Link to post
Share on other sites

win+r

control userpasswords2

 

Hinzufügen -> Benutzername + Domäne angeben -> Gewünschte Berechtigung wählen -> Weiter weiter fertigstellen

abmelden + anmelden

 

Schon ist der User lokaler admin

Edited by Gu4rdi4n
  • Like 1

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb magheinz:

Müssen das AD-Rechner sein? Könntest du ihnen virtuelle Maschinen mit lokalen admins zur Verfügung stellen? 

Es sind leider AD Rechner. VMs gehen leider auch nicht, die müssen zum Teil ohne Offline ihre Notebooks an Devices anschliessen :(

 

vor einer Stunde schrieb Gu4rdi4n:

win+r

control userpasswords2 

 

Hinzufügen -> Benutzername + Domäne angeben -> Gewünschte Berechtigung wählen -> Weiter weiter fertigstellen

abmelden + anmelden

 

Schon ist der User lokaler admin

Ich müsste das an div. Rechner machen + hätte ich noch Probleme mit den bestehenden GPOs.  Die GPO Restricted Groups würde diese Einstellung dann überschreiben. 

 

Eventuell kann mir LAPS weiterhelfen. Ich muss mir noch ein paar Gedanken machen.

Share this post


Link to post
Share on other sites
Am 26.2.2020 um 12:42 schrieb DerUser:

Es sind leider AD Rechner. VMs gehen leider auch nicht, die müssen zum Teil ohne Offline ihre Notebooks an Devices anschliessen :(

 

Ich müsste das an div. Rechner machen + hätte ich noch Probleme mit den bestehenden GPOs.  Die GPO Restricted Groups würde diese Einstellung dann überschreiben. 

 

Eventuell kann mir LAPS weiterhelfen. Ich muss mir noch ein paar Gedanken machen.

Dann pass doch die GPO Restricted Groups entsprechend an! 

Bei uns gibt es auch User die lokaler admin auf speziellen Rechnern sind, niemals die einer ganzen OU.

Es gibt pro Rechner dann eine Gruppe app_l_pcxyz_lokal_admin und wenn nicht andere Rollen greifen app_g_pcxyz_lokal_admin. 

Der User ist dann Mitglied der lokalen Gruppe welche Mitglied der domainlocale Gruppe ist. Dann ist die GPO entweder per Zielgruppenaddressierung konfiguriert oder es gibt für jede Maschine eine eigene GPO. Da bin ich gerade nicht sicher. 

Share this post


Link to post
Share on other sites
vor 14 Stunden schrieb magheinz:

Dann pass doch die GPO Restricted Groups entsprechend an! 

Bei uns gibt es auch User die lokaler admin auf speziellen Rechnern sind, niemals die einer ganzen OU.

Es gibt pro Rechner dann eine Gruppe app_l_pcxyz_lokal_admin und wenn nicht andere Rollen greifen app_g_pcxyz_lokal_admin. 

Der User ist dann Mitglied der lokalen Gruppe welche Mitglied der domainlocale Gruppe ist. Dann ist die GPO entweder per Zielgruppenaddressierung konfiguriert oder es gibt für jede Maschine eine eigene GPO. Da bin ich gerade nicht sicher. 

Das ist eine gute Idee. Super vielen Dank :) :)Ich werde nächste Woche das mal so testen mit den Zielgruppenadressierung.

Share this post


Link to post
Share on other sites
Am 25.2.2020 um 17:40 schrieb DerUser:
 

Guten Abend

 

Ich wollte fragen ob jemand ein Intelligentes Konzept kennt, wie man User so Berechtigt das er nur Admin von seinem eigenen Device wird.

Mit Restricted Group wäre es zum teil machbar, jedoch wäre der User dann Lokar Admin von Devices in der OU.

 

Danke für eure Vorschläge

Ja, ich kenne eines :-)

 

Lies Dir das hier zweimal durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Dann reden wir darüber, wie man das für lokale Admins auf Clients total einfach nutzen kann.

  • Thanks 1

Share this post


Link to post
Share on other sites
Am 3.3.2020 um 22:14 schrieb daabm:

Ja, ich kenne eines :-)

 

Lies Dir das hier zweimal durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Dann reden wir darüber, wie man das für lokale Admins auf Clients total einfach nutzen kann.

Guten Morgen daabm

 

Es tut mir leid, ich war letzte Woche Krank und konnte erst jetzt antworten. Ich lese es einmal jetzt durch und etwas später ein zweites mal :)

 

Vielen Dank.

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...