eingeschränkte gruppen == lokaler administrator?

[scuba303 10]

moin,

habe mich an die anleitung von http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

gehalten.

nur irgendwie klappt das nicht.

also, mein szenario hier:

umstellung von arbeitsgruppe auf domain. user sollen an lokalen maschinen admin rechte haben (um spassige fehlermeldungen a la norton antivirus zu entgehen). wenn ich mich nach der anleitung richte, und eine eingeschränkte gruppe anlege, dort dann meine user adde, werden die dann zwangsweise zum admin?

mir fehlt irgendwie eine verbindung zu einer admin gruppe.

 

daher auch die frage, ob eine eingeschränkte gruppe immer gleich admin rechte bekommt oder ob ich das irgendwo noch definieren muss.

[macabros 10]

hi,

 

ja natürlich du musst doch, weiß jetzt nicht genau wie es dort steht rechts klicken, neu und dann Administratoren eintragen, mit ok bestätigen, dann stehen die dort in der Liste wenn du da drauf klickst kannst du dann deine DomainUser hinzufügen...

 

wenn du z.B. Hauptbenutzer eintragen willst musst du vorher *S-1-5-32-547 eintragen und dort deine DomainUser hinzufügen die lokal Hauptbenutzer werden sollen, da es die Hauptbenutzergruppe im AktiveDirectory bzw. auf dem DC nicht gibt...

 

g

 

MacabroS

[scuba303 10]

ok.. dann raff ich das jetzt etwas mehr.

wenn ich also bei der eingeschränkten gruppe bin, dann auf gruppe hinzufügen gehe, dann

->durchsuchen

es folgt die wahl zwischen

 

Administrator Templates oder Administratoren

 

da wähle ich dann Administratoren

und adde dann die lokalen benutzer, die zum admin werden sollen, oder?

 

anschliessenend gpupdate /force

 

und alles sollte tricko sein?

 

.. weil leider nörgelt der norton bei mir hier immer noch rum.. :-(

[macabros 10]

am besten fügst du die Domänen Benutzer auch mit durchsuchen hinzu! Wichtig Domänen Benutzer... Prüfe ob sie wirklich lokale Admins sind unter start ausführen compmgmt.msc lokale Benutzer und Gruppen dort sollten dann User mit einer Weltkugel zu finden sein...

[scuba303 10]

hmm.. hab ich schon per durchsuchen probiert. aber meine user tauchen nicht in der computer management konsole auf.

noch mal zu meinem stand hier. hier läuft ein sbs2003. nachdem ich ein paar user geaddet habe, gab es bei AD benutzer und gruppen u.a. diese einträge:

 

computers (da waren alle neuen rechner drin)

users (alle standard user vom sbs2003)

myBusiness->Users->SBSusers (meine neu angelegten user)

 

wenn ich das gop erstellen will, in welchen verzeichnis muss das sein? muss ich das in eimem verzeichnis erstellen, in dem es user gibt oder muss ich es in einem verzeichnis erstellen, dass computer enthält.

 

sorry, bin leider anfänger in diesem bereich. ;-)

[macabros 10]

Achso,

 

1. neue OU für Computer anlegen, dann brauchst du nicht die Default Domain Policy nehmen

2. alle Computer in die neue OU verschieben

3. Eine Policy für die OU erstellen z.B. Policy-Computer

4. unter eigenschaften sicherheitseinstellungen domänencomputer hinzufügen und das recht geben richtlinie zu lesen und zu übernehmen

5. lokal Administratoren in der Computerconfiguration hinzufügen

 

danach sollte es funktionieren zu überprüfen an den Clients mit gpresult bei XP schon dabei, bei w2k musst es aus den Riskit glaub ich nehmen...

[scuba303 10]

hmm.. hab immer noch probleme. werde mal am montag eine kleine fotostory reinposten. vielleicht kann man da ja schon fehler sehen..

aber schon mal danke für deine mühen.. ;-)