Benutzerrechte im Netzwerk

[ingo 10]

Hallo, eine Frage zu den Benutzerrechten in einem W2K-Netzwerk!

 

Ich baue gerade ein neues Netwerk unter W2k auf, habe einen Server mit AD und Domäne erstellt.

 

An diesen angeschlossen ist ein Client, ebenfalls mit W2k.

Nun habe ich den auf dem Client schon vorhandenen Benutzer, der lokale Adminrechte hat, auch auf der Domäne eingerichtet, als normalen Domänenbenutzer.

 

Angemeldet, alles paletti, aber nun hat der User auf seiner lokalen Maschine keine Adminrechte mehr.

 

Also auf dem Server ihn zur Gruppe der Administratoren dazugefügt (/Builtin), nützte aber nichts.

 

Nunja, gelesen, probiert usw, schließlich klappte es, wenn ich den User zur Gruppe der DomänenAdmins (/Users) dazufügte.

 

Ich kann aber leider nicht genau herausfinden, wieviel ein DomänenAdmin an Rechten besitzt, der User soll nämlich keinesfalls im Netzwerk herumändern.

Vielleicht weiß jemand, wie ich dem User noch anders das Adminrecht für seine lokale Maschine lassen kann?

 

Danke

[Nic 10]

Hallo Ingo!

 

Hab das Problem vor ein paar Wochen auch schon versucht hier im Board zu lösen.

 

Scheinbar wirst du nicht umhin kommen, den entsprechenden Usern "lokal" die Adminrechte zu geben.

 

Via GPO usw. hab ich bisher auch noch keine Lösung gefunden.

 

Gruss

 

Nic

[Nic 10]

Ah... hier mein Beitrag:

 

http://www.mcseboard.de/showthread.php?threadid=2672#post11101

[marka 589]

Hi Ingo!

Also deine lokale Maschine "kennt" den Domänenbenutzer nur, weil sie beim Domänencontroller beim Anmeldevorgang nachfragt, ob dieser den User kennt. Umgekehrt kennt die Domäne nicht die lokalen User, selbst wenn diese die gleichen Anmeldenamen haben.

Um einem Dom-User lokal Administrationsrechte zu erteilen, muß man diesen in die lokale Gruppe der Administratoren auf dem PC aufnehmen.

[ingo 10]

Hallo Nic und Markus,

 

ich bin beeindruckt von eurer schnellen Reaktion, vielen Dank!

 

lieber Markus, natürlich habe ich den User in die lokale Admingruppe aufgenommen, das kratzt Windows aber überhaupt nicht, weil bei Netzanmeldung ja der Server die Rechte vergibt.... oder habe ich da was nicht verstanden?

 

Nic, dein Beitrag von 2001 hat das Problem erhellt, und was mir schon schwante: es geht nicht so wie ich es will, jedenfalls nicht ohne größere Umstände.

 

nochmals danke und Grüße

Ingo

[zuschauer 10]

Hi Ingo !

Welcher User ist in der lokalen Admingruppe \\PC\User oder \\Domain\User ?

Wenn \\Domain\User in der lokalen Admingruppe drin ist, ist er auch LokalAdmin.

 

zuschauer

[Wolke 10]

Hallo Ingo,

 

Kann es sein, das sich der lokale Benutzer (der mit den Adminrechten) - der ja die gleichen Benutzernamen in der Domain hat, auch bei der Domain anmeldet. Dann ist er nämlich ein Domainbenutzer mit den dort vergeben Rechten. Aber wenn er sich am Clinet bei der Anmeldung am LOKALEN Rechner (Anmeldedialog -> Optionen) anmeldet, dann hat er auch die lokalen Rechte! 100 %ig!

 

Gruss Wolke

[marka 589]

Original geschrieben von ingo

Hallo Nic und Markus,

...

lieber Markus, natürlich habe ich den User in die lokale Admingruppe aufgenommen, das kratzt Windows aber überhaupt nicht, weil bei Netzanmeldung ja der Server die Rechte vergibt.... oder habe ich da was nicht verstanden?

..

Erstmal gern geschehen!

Dann zur Rechtevergabe:

Rechte werden grundsätzlich an die Ressource gebunden. Stell' Dir mal vor, der DC müsste sich alle Berechtigungen jeglicher Freigegebenen Ressourcen "merken"...er wäre überfordert!

Der DC bestätigt die Identität eines Users oder Computers. D.h.:

Herr X möchte möchte von PC XY auf Freigabe Y auf PC Z zugreifen-->

PC Z "fragt" DC, ob der Herrn X kennt. Kennt DC Herrn X, schaut PC Z bei sich nach, ob Herr X auf die Freigabe Y zugreifen darf.

Ebenso bei der Useranmeldung:

Mr. X will sich an Rechner Y anmelden: Y fragt DC: kennst du X? DC sagt ja, Y schaut nach, ob X lokal an Y darf: wenn ja-->Anmeldung erfolgt!

DC sagt ja, Y schaut nach, ob X lokal an Y darf: wenn nicht--> Ich kenn' dich, aber mit dir spiel'ich nicht!

DC sagt nein--> Ich kenne dich nicht, mit dir spiele ich nicht!

[ingo 10]

Hallo Leute,

 

es ist schön dass ihr euch so um mich kümmert, danke.

 

Langsam steigt bei mir die Verwirrung.

 

Nochmal im Detail die Situation:

 

Client: User otto Kennwort zitrone

Mitglied von Benutzer und Administratoren

 

DC: User otto Kennwort zitrone

Mitglied Domänenbenutzer und einer Gruppe, die ihm Rechte auf ein Verzeichnis einräumt.

 

otto meldet sich am client an, er hat adminrechte, wie es sein soll.

 

otto meldet sich am DC an, er hat lokal keine adminrechte mehr.

 

Ich lese den Beitrag von Wolke, so ist es, aber ich denke wenn er sich nur lokal anmeldet kann er nicht mehr aufs netz zugreifen?

 

ich probiere es aus, otto lokal angemeldet, er kann aber trotzdem auf sein netzwerkverzeichnis zugreifen. Ha?

(verzeiht, ich komme von Novell)

 

irgendwie habe ich da was nicht ganz begriffen. Wo ist mein Knopf?

 

Grüße Ingo

[zuschauer 10]

Hi Ingo !

Also Otto lokal angemeldet und will Zugriff auf das Netzlaufwerk.

Der DC fragt den Usernamen und das Paßwort ab, es kommt von der WS "OTTO" pw "Zitrone". Damit ist der DC einverstanden, denn er kennt auch einen Otto mit Zitrone und läßt ihn an das Verzeichnis.

Wenn Du Dir auf dem Server die Verbindungsdaten ansehen würdest für dieses Verzeichnis, würdest Du sehen, der Domänen-Otto greift drauf zu.

Wenn der Domänen-Otto Paßwort Orange gehabt hätte, käme ein Anmeldefenster, weil OTTO+ Zitrone nicht stimmt.

 

zuschauer

[ingo 10]

hi zuschauer,

 

genau so ist es,

was ich aber nicht verstehe: Wozu ist denn dann eine explizite Anmeldung am DC gut? Die braucht's doch gar nicht mehr!

 

Grüße Ingo

[zuschauer 10]

Nein, andersrum !

Die lokale Anmeldung brauchst Du nicht, wenn Du eine Domäne hast.

Wenn Du mal so ca. 120 WS hast, und an jeder lokal den Otto mit seiner Zitrone eingerichtet hast, weißt Du sicher eine einmalige Domänenanmeldung zu schätzen - so bist Du doch unter Novell auch verfahren, eine zentralisierte Netzwerkverwaltung eben.

 

zuschauer