Jump to content

lokale Adminrechte vergeben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

HI! :)

 

Wir haben einen Windows 2003 Server mit einer ADS.

Nun haben wir Gruppen angelegt, User angelegt, und auch Gruppenrichtlinien definiert, die User-Rechte einschränken.

 

Aber bei uns in der Firma gibt es noch das Produktmanagement und die haben früher immer lokale Admin-Rechte gehabt. Das möchten wir auch in Zukunft zu beibehalten.

 

Wenn ich einen User der Gruppe "Administratoren" zuweise, dann wird der nicht auf dem Client zum Admin. Wenn ich ihn der Gruppe "Domain-Admins" zuweise, dann ist er auch auf der lokalen Büchse Admin.

Aber ich möchte ja nur mir und meinem Kollegen "Domain-Admin"-Rechte geben! Es soll ja nicht jeder, der lokal Admin-Rechte hat auch in der Domain rumfummeln können.

 

Gibt es eine Möglichkeit, jemand lokale Admin-Rechte zu geben, bzw. nur Admin-Rechte auf Clients und nicht auf den Servern?

 

Gibt es in der ADS so was wie "Hauptbenutzer" damit er User wenigstens Software installieren kann?

 

Vielen Dank für Antworten!

Link zu diesem Kommentar

Hi mdn!

Du mußt die Domänenbenutzer explizit auf den Clients in die Gruppe der lokalen Administratoren aufnehmen.

Wie, haängt vom Client-OS ab.

Bei W2K(ich meine auch XP...):

Rechte Maustaste auf Arbeitsplatz --> Verwalten, dann im linken Fenster auf "Lokale Benutzer und Gruppen" gehen, Gruppen, Und so weiter, dann den Domänenbenutzer (nicht die Gruppe) den lok.-Admins hinzufügen.

 

Unter NT:

Start|Programme|Verwaltung allgemein|Benutzerverwaltung

dort die Gruppe der Lokalen Admins aufrufen und den Domänenbenutzer als Mitglied hinzufügen

Link zu diesem Kommentar

Tja, das dachte ich mir so auch. Problem is aber, dass es wirklich ein Windows XP Rechner ist.

 

Es wird gar kein lokaler User angelegt, weil es ja ein Domain-User ist. ok - ich dachte mir, das überliste ich jetzt mal und lege manuel einen User an und geben dem lokal Admin-Rechte.

 

Wenn ich mich dann lokal anmelde hat der User Admin-Rechte. Melde ich mich an der Domain an, hat er wieder keine. Ich habe mir mal mit der "ifmember.exe" die Zugehörigkeiten angesehen. Daher kann ich das so genau sagen.

 

Ideen?? :confused:

Link zu diesem Kommentar

wenn Du in der Benutzerverwaltung bist, kannst Du doch die Eigenschaften der Lokalen Admingruppe aufrufen. Dort muß es eine Registerkarte "Mitglieder" geben. Dort klickst Du auf "hinzufügen", Domäne auswählen, User auwählen und alles bestätigen.

Ich glaube, da sind keine großen Unterschiede zu W2K, es sei denn, Du arbeitest mit der Home-Edition, die hat nämlich nur eine "kastrierte" Benutzerverwaltung.

Link zu diesem Kommentar

GEHT! TUT! FUNZT!!

 

 

Ich habe jetzt den Befehl "net localgroup Administratoren MYDOMAIN\Admins /add" benutzt und den auf allen Kisten ausgeführt.

Jetzt muss ich in der ADS die User nur noch der Gruppe "Admins" hinzufügen und schon habe ich wieder meine lokalen Admins! :D

 

So einfach geht das ... wenn man's weiß! :wink2:

 

 

Danke für die Hilfe!! :)

Link zu diesem Kommentar
  • 10 Monate später...

OK, Danke - aber kann er den Computer nicht als lokaler Admin auch aus der Domäne rausschmeißen?

 

Oder soll ich das so verstehen, das wenn der jenige aus den lokalen Administratorengruppe den Domänen-Admin rauslöscht - sich der Domänen-Admin trotzdem anmelden kann als Administrator mit höchsten Rechten?

 

PS: Entschuldigung, habe die Suchfunktion benutzt und habe vergessen auf das Datum zu sehen. :rolleyes:

Link zu diesem Kommentar

Als lokaler Admin könnte ich den Computer aus der Domäne entfernen.

 

Oder soll ich das so verstehen, das wenn der jenige aus den lokalen Administratorengruppe den Domänen-Admin rauslöscht - sich der Domänen-Admin trotzdem anmelden kann als Administrator mit höchsten Rechten?

Ähnlich: Über eine Gruppenrichtline mit einer eingeschränkten Gruppe kann ich mich als Domänenadmin wieder zum Mitglied machen.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...