Jump to content

Installationsrechte für Benutzer ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich möchte einem lokalen Benutzer bzw. einer lokalen Gruppe "JuniorAdmins" das Recht geben, Programme zu installieren. Ich habe zwar hier schon oft gelesen das es geht, aber leider nicht, wie es geht.

 

Ich habe auch schon versucht, den PC in meine W2k3 Domäne aufzunehmen und das per GPO zu regeln. Aber leider ohne Erfolg.

 

Wie geht es, dass ich dieser lokalen Gruppe und deren Mitglieder die Möglichkeit gebe, Programme zu installieren, ohne dass sie volständige Admin-Rechte bekommen (z.B. Übernehmen des Ordnerbesitzes, etc.)

 

Ich hoffe, Ihr könnt mir helfen, ich bin leider schon am Verzweifeln :confused:

Link zu diesem Kommentar

Man muss dazu sagen, dass einige Dinge ausschliesslich den Administratoren vorbehalten sind. Ich schau mal, ob ich eine Liste finde, in der genau die Unterschiede beschrieben sind ...

 

edit:

 

Power Users

 

The Power User class can perform any task except for those reserved for Administators. They are allowed to carry out functions that will not directly affect the operating system or risk security. All domain accounts are part of the Power Users group on public Windows 2000 computers.

Power Users Can:

 

* Create local user accounts

* Modify user accounts which they have created

* Change user permissions on users, power users, and guests

* Install and run applications that do not affect the operating system

* Customize settings and resources on the Control Panel, such as Printers, Date/Time, and Power Options

* Do anything a User can

 

Power Users Cannot:

 

* Access other users' data without permission

* Delete or modify user accounts they did not create

 

 

Users

 

Users can perform common tasks, but have little power to affect the computer outside of their own account. The Users group is the most secure environment in which to run programs, since a User cannot affect the operating system or program files.

Users Can:

 

* Create, modify, and delete their own data files

* Run system-wide or personally installed applications

* Change their personal settings

* Install programs for their own use only

* Access the network

* Print to local or networked printers

* Do anything a Guest can

 

Users Cannot:

 

* Modify system-wide settings, operating system files, or program files

* Affect other users' data or desktop settings

* Install applications that can be run by other users

* Add printers

* Configure the system for file sharing

 

 

 

Administrators

 

Members of the Administrator group have total control over the computer and everything on it. The user named Administrator is the default account within this group. The domain account of each faculty or staff member with a Windows 2000 computer is part of the Administrator group on his or her computer.

Administrators Can:

 

* Create, modify, and access local user accounts

* Install new hardware and software

* Upgrade the operating system

* Back up the system and files

* Claim ownership of files that have become damaged

* Do anything a Power User can

 

 

Ist zwar nicht ganz, was ich gesucht habe, aber immerhin ... ;)

Link zu diesem Kommentar

Meinst Du das "Es gibt auch Möglichkeiten, Benutzer nur mit Installationsrechten auszustatten (reicht meist schon)" ? <--- und wie ?

Es sind nicht nur Berechtigungen auf Dateien und Verzeichnisse, es sind Berechtigungen auf Zweige der Registrierdatenbank, Benutzerrechte usw., die bei einem Administrator anders sind als bei einem Hauptbenutzer oder Benutzer. Es ist bei Dir ja wohl auch nicht so, dass die Benutzer nach dem Zufügen zur Hauptbenutzergruppe gar nichts installieren dürfen. Sie dürfen offenbar keine systemkritischen Dinge installieren.

Es gibt eine Sicherheitsvorlage compatws.inf, die diese Sicherheitseinstellungen etwas reduziert, aber deswegen kann man immer noch nicht alles machen ...

Link zu diesem Kommentar

OK, ja Danke für die Idee, ich werde es mal mit der Sicherheitsvorlage versuchen.

Ansonsten werde ich es einfach mal drauf ankommen lassen, ob meine Nichte dann mit Ihren Programmen und Spielen (z.B. Sims2 benötigt zum spielen Adminrechte) zurechtkommt.

 

Ansonsten muss ich wohl in den sauren Apfen beißen und Ihr Adminrechte lassen.

 

Sollte ich aber genaueres herausbekommen bezüglich dem Zugriff auf Dienste, Ordner und die Registry, werde ich diese ERfahrung hier nochmals posten.

 

Vielleicht steht ja nochmal jemand vor diesem Problem bzw. dieser Idee.

 

Vielen DAnk für Deine geistige Mühe!

 

Gruß, Revi

Link zu diesem Kommentar
  • 2 Monate später...
Hast Du Deine Leute mal in die lokale Gruppe Hauptbenutzer getan ? Mitglieder dieser Gruppe haben erweiterte Rechte, sind aber noch lange keine Admins ...

Du kannst die Gruppenzugehörigkeit auch via Gruppenrichtlinie konfigurieren

 

 

Ich habe ein sehr ähnliches Problem. Auf meinem 2003 Server habe ich eine Gruppe mit dem Namen "Angestellte" erstellt, in der jeder Bentzer auch Hauptbenutzer sein soll. Nur leider finde ich dieses Objekt nicht im ganzen Active Directory. Kann das sein!?

Link zu diesem Kommentar

Hi Leute,

 

@all bitte nicht mit Adminrechten und/oder Hauptbenutzerrechten arbeiten.

 

Wir als Admins sollten das nicht tun u. User schon gleich garnicht!

https://www.mcseboard.de/showthread.php?t=66853

 

@Patrick

 

die Gruppe Hauptbenutzer gibts im AD nicht sondern nur in der SAM deiner Clients um die Benutzer dieser lokalen Gruppe hinzuzufügen behilfst du dir am besten mit einer Gruppenrichtlinie:

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen

 

Aber Vorsicht von der Verwendung dieser Gruppe würde ich eindeutig abraten!

Sogar MSFT hat dies erkannt u. einen KB-Artikel dazu geschrieben u. in der Nachfolgerversion von XP (Vista) diese Gruppe gestrichen.

 

A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP:

http://support.microsoft.com/default.aspx?scid=kb;en-us;825069

 

LG Gadget

Link zu diesem Kommentar

Hi,

 

Zitat:

Zitat von Gadget

Aber Vorsicht von der Verwendung dieser Gruppe würde ich eindeutig abraten!...LG Gadget

 

Vielen dank, dass du dich unserer annimmst!

Wenn nicht mit Gruppenrichtlinien, wie dann?

 

Bitte nicht Gruppen u. Gruppenrichtlinien mixen, sry für die Frage aber der Unterschied zwischen einer Benutzergruppe (die meine ich wenn ich von Gruppe spreche) u. einer Gruppenrichtlinie (Group Policy) ist dir bekannt oder?

 

Ich hab nämlich nix von Gruppenrichtlinie nicht verwenden gesagt sonder von der Vergabe von Hauptbenutzerrechten für den Standardbenutzeraccount abgeraten.

 

Warum ich davon abrate habe ich Ausführlich in meinem Tippartikel "Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!"

 

beschrieben geht zwar um Adminrechte, da Verweise ich aber wieder auf den vorher genannten KB825069

 

LG Gadget

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...