Jump to content

lokalen benutzer in ad einrichten

thork

Von thork
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

thork Proficient

thork   10

Geschrieben
Geschrieben

hallo,

 

wie kann ich einen lokalen benutzer in einem windows 2003 server der als dc läuft einrichten?

 

der benutzer soll nur programme aufrufen können, aber nichts ändern und installieren dürfen.

 

in den gruppenrichtlinien hab ich ihm schon erlaubt sich lokal anzumelde, aber es klappt net.

 

der benutzer ist derzeit nur mitglied von domänenbenutzer.

 

muß vielleicht da was anderes hin?

 

 

gruß thork

Link zu diesem Kommentar
Mortary Enthusiast

Mortary   10

Geschrieben
Geschrieben

Normalerweise sollte es reichen, wenn der Benutzer Mitglied der Domäne ist (also in einer der OU's herumliegt). Du kannst aber mal versuchen, ihn in den Eigenschaften unter "Mitglied von" die Mitgliedschaft der lokalen Administratoren des Servers (\\SERVERNAME\Administratoren) reinzuwuchten.

 

Wenn du die GPO so konfiguriert hast, dass er sich lokal anmelden darf, dann sollts eigentlich funken.

Link zu diesem Kommentar
gr@mlin Mentor

gr@mlin   10

Geschrieben
Geschrieben

hi,

 

Original geschrieben von Mortary

Du kannst aber mal versuchen, ihn in den Eigenschaften unter "Mitglied von" die Mitgliedschaft der lokalen Administratoren des Servers (\\SERVERNAME\Administratoren) reinzuwuchten.

da kannst du aber lange wuchten, auf nem dc gibts keine lokalen benutzer/gruppen.

 

wenn du dem user per gpo (hast du auch die richtige genommen?) das lokale anmelden erlaubt hast, sollte er sich auch anmelden können

... aber warum soll ein benutzer sich am dc anmelden können?

das ist ja viel zu gefährlich (für die dom).

 

gruss, gr@mlin

Link zu diesem Kommentar
Mortary Enthusiast

Mortary   10

Geschrieben
Geschrieben
Original geschrieben von gr@mlin

hi,

da kannst du aber lange wuchten, auf nem dc gibts keine lokalen benutzer/gruppen.

 

Wenn du mal in dein AD schaust, dann siehst du auf der Seite beim Strukturbaum doch sicher einen Ordner, der "BUILTIN" heisst. Was issn da drinnen?

 

Du kommst über die Verwaltung zwar nicht mehr hin, aber wenn du diese Sicherheitsgruppe nimmst gehts ebenfalls ;-)

Link zu diesem Kommentar
thork Proficient

thork   10

Geschrieben
  • Autor
Geschrieben

ich möchte gerne einen lokalen benutzer am server angemeldet haben, weil von einem softwarehaus eine fernwartung für deren software über pcanywhere auf den server zugreift.

 

wenn ich da aber den admin angemeldet habe, hat die fernwartung kompletten zugriff auf alles. das möchte ich gerne verhindern.

 

oder macht man sowas anders?

 

ich habe die standard gpo genommen. habe noch keine weiteren

 

 

 

gruß thork

Link zu diesem Kommentar
the_brayn Veteran

the_brayn   10

Geschrieben
Geschrieben

Hiho,

 

>da kannst du aber lange wuchten, auf nem dc gibts keine lokalen benutzer/gruppen

 

Doch es gibt auch beim DC eine SAM, diese ist im laufendem Betrieb nur nicht geladen. Stichwort Verzeichnisdientwiederherstellung.

 

>wenn ich da aber den admin angemeldet habe, hat die fernwartung kompletten zugriff auf alles. das möchte ich gerne verhindern

 

Dann richte einen User ein im DC dem Du dann das Recht gibst sich lokal am DC anmelden zu dürfen.

 

Gruß Guido

Link zu diesem Kommentar
thork Proficient

thork   10

Geschrieben
  • Autor
Geschrieben
Original geschrieben von the_brayn

Dann richte einen User ein im DC dem Du dann das Recht gibst sich lokal am DC anmelden zu dürfen.

 

das würde ich ja gerne, aber ich mach irgendwas falsch.

 

in der gpo habe ich den user eingetragen, trotz gpupdate mach er es aber nicht.

 

ich habe nur die standard gpo, sonst keine weiteren.

 

 

gruß thork

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben
Original geschrieben von thork

ich möchte gerne einen lokalen benutzer am server angemeldet haben, weil von einem softwarehaus eine fernwartung für deren software über pcanywhere auf den server zugreift.

 

wenn ich da aber den admin angemeldet habe, hat die fernwartung kompletten zugriff auf alles. das möchte ich gerne verhindern.

 

Soweit ich weiss, hast du in dem Fall auch die Möglichkeit mit PC Anywhere die Rechte des Remote Nutzers zu beschneiden.

 

Vielleicht mal bei Symantec in der KB rumstöbern, hat mir auch schon geholfen.

 

Falls du es Trotzdem über das Recht "lokal Anmelden" und der GPO machen möchtest, musst du dir die "default domain controller policy" ´mal anschauen, dort kannst du das anpassen.

 

Greetz

Link zu diesem Kommentar
thork Proficient

thork   10

Geschrieben
  • Autor
Geschrieben
Original geschrieben von the_brayn

GPO: Computerkonfiguration -> WinEinstellungen -> Sicherheitseinst. ->lokaloe Richtlinien -> Zuweisen von Benuterrechten -> Lokal Anmelden: dort Benutzer hinzufügen.

 

genau das habe ich gemacht.

 

aber irgendwo haut er bei mir was quer?!

 

wo kann ich sehen, ob eine andere richtlinie die werte überschreibt?

 

wobei... wie gesagt, ich keine andere richtlinien erstellt habe

 

gruß thork

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...