ingo 10 Posted December 12, 2002 Report Share Posted December 12, 2002 Hallo, eine Frage zu den Benutzerrechten in einem W2K-Netzwerk! Ich baue gerade ein neues Netwerk unter W2k auf, habe einen Server mit AD und Domäne erstellt. An diesen angeschlossen ist ein Client, ebenfalls mit W2k. Nun habe ich den auf dem Client schon vorhandenen Benutzer, der lokale Adminrechte hat, auch auf der Domäne eingerichtet, als normalen Domänenbenutzer. Angemeldet, alles paletti, aber nun hat der User auf seiner lokalen Maschine keine Adminrechte mehr. Also auf dem Server ihn zur Gruppe der Administratoren dazugefügt (/Builtin), nützte aber nichts. Nunja, gelesen, probiert usw, schließlich klappte es, wenn ich den User zur Gruppe der DomänenAdmins (/Users) dazufügte. Ich kann aber leider nicht genau herausfinden, wieviel ein DomänenAdmin an Rechten besitzt, der User soll nämlich keinesfalls im Netzwerk herumändern. Vielleicht weiß jemand, wie ich dem User noch anders das Adminrecht für seine lokale Maschine lassen kann? Danke Quote Link to comment
Nic 10 Posted December 12, 2002 Report Share Posted December 12, 2002 Hallo Ingo! Hab das Problem vor ein paar Wochen auch schon versucht hier im Board zu lösen. Scheinbar wirst du nicht umhin kommen, den entsprechenden Usern "lokal" die Adminrechte zu geben. Via GPO usw. hab ich bisher auch noch keine Lösung gefunden. Gruss Nic Quote Link to comment
Nic 10 Posted December 12, 2002 Report Share Posted December 12, 2002 Ah... hier mein Beitrag: http://www.mcseboard.de/showthread.php?threadid=2672#post11101 Quote Link to comment
marka 579 Posted December 12, 2002 Report Share Posted December 12, 2002 Hi Ingo! Also deine lokale Maschine "kennt" den Domänenbenutzer nur, weil sie beim Domänencontroller beim Anmeldevorgang nachfragt, ob dieser den User kennt. Umgekehrt kennt die Domäne nicht die lokalen User, selbst wenn diese die gleichen Anmeldenamen haben. Um einem Dom-User lokal Administrationsrechte zu erteilen, muß man diesen in die lokale Gruppe der Administratoren auf dem PC aufnehmen. Quote Link to comment
ingo 10 Posted December 12, 2002 Author Report Share Posted December 12, 2002 Hallo Nic und Markus, ich bin beeindruckt von eurer schnellen Reaktion, vielen Dank! lieber Markus, natürlich habe ich den User in die lokale Admingruppe aufgenommen, das kratzt Windows aber überhaupt nicht, weil bei Netzanmeldung ja der Server die Rechte vergibt.... oder habe ich da was nicht verstanden? Nic, dein Beitrag von 2001 hat das Problem erhellt, und was mir schon schwante: es geht nicht so wie ich es will, jedenfalls nicht ohne größere Umstände. nochmals danke und Grüße Ingo Quote Link to comment
zuschauer 10 Posted December 12, 2002 Report Share Posted December 12, 2002 Hi Ingo ! Welcher User ist in der lokalen Admingruppe \\PC\User oder \\Domain\User ? Wenn \\Domain\User in der lokalen Admingruppe drin ist, ist er auch LokalAdmin. zuschauer Quote Link to comment
Wolke 10 Posted December 13, 2002 Report Share Posted December 13, 2002 Hallo Ingo, Kann es sein, das sich der lokale Benutzer (der mit den Adminrechten) - der ja die gleichen Benutzernamen in der Domain hat, auch bei der Domain anmeldet. Dann ist er nämlich ein Domainbenutzer mit den dort vergeben Rechten. Aber wenn er sich am Clinet bei der Anmeldung am LOKALEN Rechner (Anmeldedialog -> Optionen) anmeldet, dann hat er auch die lokalen Rechte! 100 %ig! Gruss Wolke Quote Link to comment
marka 579 Posted December 13, 2002 Report Share Posted December 13, 2002 Original geschrieben von ingo Hallo Nic und Markus, ... lieber Markus, natürlich habe ich den User in die lokale Admingruppe aufgenommen, das kratzt Windows aber überhaupt nicht, weil bei Netzanmeldung ja der Server die Rechte vergibt.... oder habe ich da was nicht verstanden? .. Erstmal gern geschehen! Dann zur Rechtevergabe: Rechte werden grundsätzlich an die Ressource gebunden. Stell' Dir mal vor, der DC müsste sich alle Berechtigungen jeglicher Freigegebenen Ressourcen "merken"...er wäre überfordert! Der DC bestätigt die Identität eines Users oder Computers. D.h.: Herr X möchte möchte von PC XY auf Freigabe Y auf PC Z zugreifen--> PC Z "fragt" DC, ob der Herrn X kennt. Kennt DC Herrn X, schaut PC Z bei sich nach, ob Herr X auf die Freigabe Y zugreifen darf. Ebenso bei der Useranmeldung: Mr. X will sich an Rechner Y anmelden: Y fragt DC: kennst du X? DC sagt ja, Y schaut nach, ob X lokal an Y darf: wenn ja-->Anmeldung erfolgt! DC sagt ja, Y schaut nach, ob X lokal an Y darf: wenn nicht--> Ich kenn' dich, aber mit dir spiel'ich nicht! DC sagt nein--> Ich kenne dich nicht, mit dir spiele ich nicht! Quote Link to comment
ingo 10 Posted December 13, 2002 Author Report Share Posted December 13, 2002 Hallo Leute, es ist schön dass ihr euch so um mich kümmert, danke. Langsam steigt bei mir die Verwirrung. Nochmal im Detail die Situation: Client: User otto Kennwort zitrone Mitglied von Benutzer und Administratoren DC: User otto Kennwort zitrone Mitglied Domänenbenutzer und einer Gruppe, die ihm Rechte auf ein Verzeichnis einräumt. otto meldet sich am client an, er hat adminrechte, wie es sein soll. otto meldet sich am DC an, er hat lokal keine adminrechte mehr. Ich lese den Beitrag von Wolke, so ist es, aber ich denke wenn er sich nur lokal anmeldet kann er nicht mehr aufs netz zugreifen? ich probiere es aus, otto lokal angemeldet, er kann aber trotzdem auf sein netzwerkverzeichnis zugreifen. Ha? (verzeiht, ich komme von Novell) irgendwie habe ich da was nicht ganz begriffen. Wo ist mein Knopf? Grüße Ingo Quote Link to comment
zuschauer 10 Posted December 13, 2002 Report Share Posted December 13, 2002 Hi Ingo ! Also Otto lokal angemeldet und will Zugriff auf das Netzlaufwerk. Der DC fragt den Usernamen und das Paßwort ab, es kommt von der WS "OTTO" pw "Zitrone". Damit ist der DC einverstanden, denn er kennt auch einen Otto mit Zitrone und läßt ihn an das Verzeichnis. Wenn Du Dir auf dem Server die Verbindungsdaten ansehen würdest für dieses Verzeichnis, würdest Du sehen, der Domänen-Otto greift drauf zu. Wenn der Domänen-Otto Paßwort Orange gehabt hätte, käme ein Anmeldefenster, weil OTTO+ Zitrone nicht stimmt. zuschauer Quote Link to comment
ingo 10 Posted December 13, 2002 Author Report Share Posted December 13, 2002 hi zuschauer, genau so ist es, was ich aber nicht verstehe: Wozu ist denn dann eine explizite Anmeldung am DC gut? Die braucht's doch gar nicht mehr! Grüße Ingo Quote Link to comment
zuschauer 10 Posted December 13, 2002 Report Share Posted December 13, 2002 Nein, andersrum ! Die lokale Anmeldung brauchst Du nicht, wenn Du eine Domäne hast. Wenn Du mal so ca. 120 WS hast, und an jeder lokal den Otto mit seiner Zitrone eingerichtet hast, weißt Du sicher eine einmalige Domänenanmeldung zu schätzen - so bist Du doch unter Novell auch verfahren, eine zentralisierte Netzwerkverwaltung eben. zuschauer Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.