Jump to content

Domänen-Gruppe als lokale Hauptbenutzer bzw. Admins

keen5

Von keen5
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

keen5 Apprentice

keen5   10

Geschrieben
Geschrieben

Hallo,

 

ich möchte einer Gruppe von Technikern, die öfters mal neue PC'S aufsetzen und Software installieren, in die lokale Hauptbenutzer bzw. Admin Gruppe einfügen.

 

Ich will dies aber nicht bei jedem Rechner manuell machen sondern automatisch bei jedem neu aufgesetzten Rechner soll diese globale Technikergruppe dann als Hauptbenutzer (od. Admin) auf diesem PC agieren können.

 

In etwa so wie bei den Domänen-Admins die auch automatisch in die lokale Admin-Gruppe eingetragen werden.

 

Wie kann ich das realisieren??

 

Thanx for Help :-))

 

keen5

keen5 Apprentice

keen5   10

Geschrieben
  • Autor
Geschrieben

Danke erstmal :-)

 

 

Ich hab im Forum gesucht und einige Hinweise gefunden:

 

 

Was ich dann gemacht habe:

 

- im AD rechte Maus auf die Domäne -> Eigenschaften -> Gruppenrichtlinien

- eine neue angelegt "globale Gruppe lokale Admins"

- diese bearbeiten

- unter Computerkonf. -> Windows. -> Sicherheits. -> eingeschränkte Gruppen die Gruppe "Techniker" hinzugefügt

- dieser Gruppe hab ich vorher 2 Techniker hinzugefügt

- fertig

 

Hab dann einen Rechner in der Domäne gebootet und die Gruppe Techniker under den lokalen Admins oder Haupbenutzern erwartet. War aber leider nicht so.

 

Hab ich was falsch gemacht ??

grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
unter Computerkonf. -> Windows. -> Sicherheits. -> eingeschränkte Gruppen die Gruppe "Techniker" hinzugefügt

- dieser Gruppe hab ich vorher 2 Techniker hinzugefügt

- fertig

Das funktioniert so nicht. Die Globale Gruppe erstellen, ok. Die Benutzer rein (manuell am besten). Dann in der erstellten Richtlinie eingeschränkte Gruppe, dort ADMINISTRATOREN auswählen, dann in diesem Fenster der Gruppe Administratoren die vorher erstellte Gruppe Techniker hinzufügen.

 

Je nach OS auf dem Server, "secedit /refreshpolicy machine_policy /enforce" eingeben bzw. auf 2003 gpupdate. ein paar Sekunden warten (bei mehreren DCs replizieren), dann dasselbe auf dem Client machen, bei W2k secedit........ , bei XP gpupdate.

 

grizzly999

keen5 Apprentice

keen5   10

Geschrieben
  • Autor
Geschrieben

Also irgendwie funktioniert das bei mir nicht....

 

Ich habe alles noch mal gelöscht und neu aufgesetzt:

 

- Rechtsklick auf das AD -> Eigenschaften--> Gruppenrichtlinien

Dort eine neue Richtlinie mit dem Name "lokale Admins" angelegt

Dann auf Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Administrative Gruppen.

 

- Dort auf Hinzufügen und Administratoren hinzugefügt.

Dann rechtsklick und auf Sicherheitseinstellungen bei "Mitglieder der Gruppe" die vorher angelegte globale Gruppe "Techniker" hinzugefügt.

 

Alles mit ok bestätigt.

 

- CMD öffnen und :secedit /refreshpolicy machine_policy /enforce eingegeben.

 

Auf dem client habe ich auch den cmd-Vorgang wiederholt.

 

Aber leider ohne Erfolg. Meine lokale Gruppe auf dem Client bekommt die Gruppe "Techniker" nicht zu sehen!!?? Auch nach einigen Minuten nicht.

 

Irgendwas passt noch nicht :-))

 

Keen5

the_brayn Veteran

the_brayn   10

Geschrieben
Geschrieben

Hiho,

 

verbessert mich wenn es falsch ist, aber eine Gruppenzugehörigkeit erhält man doch nur bei einer Anmeldung, Stichwort Zugriffstoken. Oder täusche ich mich da. Mit secedit bekomme ich zwar die GPO aber nicht die Gruppenzugehörigkeit.

 

Gruß Guido

grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Das ist korrekt, da fehlte bei mir in der ausführlichen Beschreibung, damit das ganze überhaupt gleich getestet werden kann, noch der Abschlusssatz: "Neu anmelden am Client"!. (davon bin ich irgendwie selbstredend ausgegeangen)

Danke dir.. ;)

 

grizzly999

keen5 Apprentice

keen5   10

Geschrieben
  • Autor
Geschrieben

Ich habe mir mal die Website angeschaut und alles genau so gemacht wie beschrieben.

Ein obligatorisches Ab-/Anmelden hatte ich auch schon durchgeführt.

 

Jetzt habe ich auf meinem Testclient eine Fehlermeldung gefunden.

Diese Fehlermeldung wird jedes mal sofort in das Anwendungsprotokoll eingetragen wenn ich die Richtlinien auf dem Client über :

 

secedit /refreshpolicy machine_policy /enforce

 

aktualisieren will.

 

 

Fehlermeldung:

 

Der Benutzer oder der Computername kann nicht ermittelt werden. Zurückgegebener Wert (1722).

 

Habe schon mal im Forum gesucht und evtl. Probleme mit dem DNS-Lookup gefunden. Im DNS-Server ist der Clientrechner aber vorhanden.

 

:confused: grüße keen5

giffy Rising Star

giffy   10

Geschrieben
Geschrieben

Nach meiner Ansicht wäre das Vergeben der Adminrechte für die Techniker nicht optimal.

Wenn die Techniker Rechner nur aufstellen und sie in der Domäne hinzufügen, gibt es ein vorgefertigte Standart Gruppenrichtlinie die ich der globalen Gruppe der Techniker hinzufügen würde.

Somit bleiben die Admins Master of the Puppets. Es ist alles hierachisch.

keen5 Apprentice

keen5   10

Geschrieben
  • Autor
Geschrieben

Morgen,

 

es reicht mir ja fast schon wenn sie als Hauptbenutzer agieren könnten. Selbst das funktioniert nicht. Ich kann die Gruppe zwar auf dem AD anlegen aber es tut sich nichts.

 

 

mfg

keen5

:confused:

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...