Jump to content

Domänenbenutzer und lokaler Administrator zugleich?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi@all,

 

hätte mal eine Frage, zu der ich bis jetzt noch keine Lösung gefunden habe.

Gibt es eine Möglichkeit, einen Benutzer in einer Domäne so einzustellen,

dass er im Netzwerk nur Benutzer-Rechte hat, lokal aber die vollen Admin-Rechte?

 

Wenn ich dem Benutzer nämlich am Server Administrator-Rechte gebe, dann gilt das immer im ganzen Netzwerk.

Wenn sich der Nutzer aber nur als lokaler Administrator an der Station anmeldet, kommt er nicht ins Netzwerk.

 

Kann man nicht irgendwie beide Rechte vergeben.

 

 

Sprich: lokal ist man Administrator, aber im Netzwerk bloß Benutzer?

 

Nun, warum das alles, ganz einfach, die Leute sollen lokal alles, wirklich alles machen können,

aber bitte schön, im Netzwerk natürlich nicht!!!

Link to comment

Natürlich geht das. ;)

 

Du erstellst für den User ein lokales Konto und setzt ihn in die Gruppe der (lokalen) Admins. Dann darf er auf dem System alles. Und in der Domäne bekommt er das eingeschränkte Domänenkonto auf dem DC.

 

Je nachdem, was er machen will, muss der User sich nur bei der Anmeldung (nach "Strg+Alt+Entf") entscheiden.

 

Als Admin: lokal am Computer anmelden

Als einfacher User: an der Domäne anmelden

 

Damian

Link to comment

Die Idee von "klausk" ist eindeutig die bessere.

Denn genau das will ja nicht, was "Damian" vorschlägt, das habe ich auch in meinem Teil geschrieben.

Denn das weiß ich ja, mit zwei verschiedenen Konten, das ist ja keine Kunst.

 

Nur einen Haken hat die Sache noch, man muss an jeden Rechner

gehen und diese Änderung durchführen, lässt sich das auch zentralisieren?

Link to comment

:D 'tschuldigung, aber ich war etwas abgelenkt ;)

was ich meine ist, dass du über die mitgliedschaft des users in speziellen lokalen bzw. globalen gruppen, steuern kannst, welche berechtigungen und rechte wirken. das ist zugegebenermassen komplex und vorher gut zu durchdenken, aber es zahlt sich aus, da du bei der änderung von mitgliedern (kollege x wird durch praktikantin y ersetzt :rolleyes: ) nicht dein konzept, sondern nur den user ändern musst: die mitgliedschaft in den gruppen bestimmt, was gilt und nicht das benutzerkonto!

 

ps:imho = in my humble opinion

 

(wäre schön, wenn grizzly999 jetzt vorbeischaut - der kann einfach besser erklären ;) )

Link to comment

Was real_tarantoga meint, ist, dass du nicht einen einzelnen Domänenbenutzer in die lokale Gruppe der Administratoren stecken solltest, sondern eine globale Gruppe. Muss ja nicht gleich die Gruppe Domänen-Benutzer sein, sondern du bastelst dir eine auf Domänenebene, z.B. DG-Lokal-Admin oder so ähnlich. In die kommt der oder kommen die Benutzer rein, die überall lokale Adminrechte haben sollen (aber eben keine Domänen-Admin Rechte). Diese domänenglobale Gruppe - und nicht den einzelnen User - machst du dann zum Mitglied in der loaklen Administratorengruppe auf jedem Client. Dann ist bei Änderungen wer das darf, dies wesentlich einfacher zu regeln. Einfach einen DomänenUser in der Domäne aus dieser neu geschaffenen Gruppe raus -> kann er nicht mehr administrieren. Einen anderen User in die Domänengruppe rein -> darf jetzt auch lokal administrieren. Hat nur einen kleinen Nachteil, und der kommt im folgenden Abschnitt:

 

Eine interessante Frage ist die, wie man das macht, ohne jede lokale Benutzerdatenbank anfassen zu müssen. Das geht, so gar sehr differenziert, wenn es sein muss. Einfach in einer Gruppenrichtlinie an der Domäne oder einer/mehreren OU in der Computerkonfiguration/sciherheitseinstelleungen unter dem Menüpunkt "Eingeschränkte Gruppen" die Gruppe Administratoren hinzufügen und als Mitglied den oder die Benutzer, die in den lokalen Administratorengruppen Mitglied sein sollen hinzufügen. Das geht leide nur mit einzelnen Benutzern, nicht mit globalen Gruppen :-((

 

Nun kannst Du dir es aussuchen

 

grizzly999

Link to comment
  • 9 months later...

ich hätte hierzu nochmal eine Frage:

 

besteht auch die Möglichkeit, dass Domänenbenutzer die lokalen Adminrechte auch nur an bestimmten Rechnern erhalten?

Praktisch eine zentrale verwaltungsstelle diesbezüglich.

 

kann man das auch mit dem AD realisieren?

 

---

 

Ich hoffe das geht hier nicht zu sehr ins Eingemachte, oder muss ich wirklich neue Klassen und Objekte im AD anlegen (Schemaerweiterung) und sie dann mit einer selbstprogammierten Maske zusammenklicken?

 

hat da jemand einen Tip?

grizzly vielleicht?

 

Tx

Link to comment

aber sicher,

 

du kannst den Befehl net localgroup "ZIELGRUPPE" "BENUTZER" dazu verwenden. Ich würde dazu unter deiner OU, die alle deine Rechner hält, eine weitere OU machen, und mittels GPO ein Script erstellen, welches ausgeführt wird, wenn der Rechner gestartet wird (Computerconfiguration -> Windows-Einstellungen -> Scripts -> Starten)

 

Dann schiebst du die betreffenden Rechner in diese OU ein, und wartest, bis diese entweder hochgefahren werden, oder das GPO Update läuft.

 

Dieser Trick funktioniert recht einfach, wenn es immer die gleichen User sind, die kannst du dann in eine Gruppe zusammenfassen, ansonsten musst du ein wenig "zaubern" wer welchen script auf welchen Rechner läuft.

 

Wir haben so ein Script laufen, weil wir ein paar Poweruser mit Adminrechten auf dem lokalen Rechner (ganz oben, cheffe) haben, die ab und zu die Domänenadmingruppe von den lokalen Admingruppe "entfernen".

 

Mit diesen Script wird die Admingruppe spätestens beim Update wieder hinzugefügt :-)

 

Gruß

 

Dejan

Link to comment
  • 4 weeks later...
Original geschrieben von grizzly999

Was real_tarantoga meint, ist, dass du nicht einen einzelnen Domänenbenutzer in die lokale Gruppe der Administratoren stecken solltest, sondern eine globale Gruppe. Muss ja nicht gleich die Gruppe Domänen-Benutzer sein, sondern du bastelst dir eine auf Domänenebene, z.B. DG-Lokal-Admin oder so ähnlich. In die kommt der oder kommen die Benutzer rein, die überall lokale Adminrechte haben sollen (aber eben keine Domänen-Admin Rechte). Diese domänenglobale Gruppe - und nicht den einzelnen User - machst du dann zum Mitglied in der loaklen Administratorengruppe auf jedem Client. Dann ist bei Änderungen wer das darf, dies wesentlich einfacher zu regeln. Einfach einen DomänenUser in der Domäne aus dieser neu geschaffenen Gruppe raus -> kann er nicht mehr administrieren. Einen anderen User in die Domänengruppe rein -> darf jetzt auch lokal administrieren. Hat nur einen kleinen Nachteil, und der kommt im folgenden Abschnitt:

 

Eine interessante Frage ist die, wie man das macht, ohne jede lokale Benutzerdatenbank anfassen zu müssen. Das geht, so gar sehr differenziert, wenn es sein muss. Einfach in einer Gruppenrichtlinie an der Domäne oder einer/mehreren OU in der Computerkonfiguration/sciherheitseinstelleungen unter dem Menüpunkt "Eingeschränkte Gruppen" die Gruppe Administratoren hinzufügen und als Mitglied den oder die Benutzer, die in den lokalen Administratorengruppen Mitglied sein sollen hinzufügen. Das geht leide nur mit einzelnen Benutzern, nicht mit globalen Gruppen :-((

 

Nun kannst Du dir es aussuchen

 

grizzly999

 

 

Hallo grizzly999,

mir würde Deine 1. Variante sehr zusagen, da Sie recht übersichtlich ist. Eine globale Gruppe "DG Lokale Administratoren" mit den entsprechenden Mitgliedern habe ich bereits angelegt.

Nur beim Zufügen dieser Gruppe zur lokalen Gruppe Administratoren bei den Client-PC's (XP Pro) scheitere ich.

Ich kann dort nur lokale Benutzer und Gruppen auswählen obwohl ich als Administrator an der Domäne angemeldet bin. Ich bekomme als Suchpfad nur den lokalen Client-PC zur Auswahl. Wie kann ich hier das System dazu bringen auch auf der Domäne nach Gruppen zu suchen?

 

mfg

Donald

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...