benjamin200 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hallo, gibt es eine Möglichkeit (z.B. eine Sicherheitsrichtilinie oder ähnliches) mit welcher dem Administrator eines auf Active Directory - WIN2003 Domäne - basierendens Netzwerkes speziellen USERN administrative lokale Rechte auf ausgewählte Maschinen zu erteilen? z.B. User001 - Im Netzwerk: Domänenbenutzer (mehr nicht) - auf PC "WKS02434" lokaler Admin (aber nur auf dieser Maschine) Die Vergabe der Rechte soll über das AD abgewickelt werden. Gibt es hierfür eine Möglichkeit? Vielen Dank im voraus! Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hallo Benjamin, also dieses Thema wurde hier schon wirklich zig mal bis zum erbrechen diskutiert worden. In Kurzform (evtl. bemühst du mal die Suchfunktion hier im Board): Ja es geht ist aber relativ, meiner Meinung nach, kompliziert und es geht nicht ohne nicht doch am lokalen PC dann eine Gruppe manuell, oder per, meiner Meingung nach, recht aufwändigen Skript, einzupflegen. - Anlegen einer Sicherheitsgruppe für jeden PC im AD - Hinzufügen des Benutzers in diese Gruppe - Hinzufügen dieser Gruppe in der Gruppe der lokalen Adminstratoren (manuell oder Skript) auf dem betreffenden PC. Natürlich kann man jetzt sagen: Dann kann ich ja gleich den Benutzer manuell in die Gruppe einpflegen, aber bei einem evtl. PC wechsel oder aus anderen Gründen das jemand Admin Rechte auf einem PC braucht, kannst du die Turnschuhe im Schrank lassen und zentral im AD eben diesen Benutzer in die (den) Gruppe(n) pflegen. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Ich brauche keine Turnschuhe, ich nehme Hyena: http://www.systemtools.com/hyena/index.html Allerdings muss auf dem PC der Serverdienst laufen. Dann geht das aber remote. -Zahni Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 @zahni: Kostet aber Asche oder? Wie auch immer, ich grüble gerade wie es auch kostenlos gehen könnte. Im Grunde heist der Befehl im Script: net localgroup "Administratoren" "domäne\SicherheitsGruppe" /add man könnte doch dann einen Computerlogon Skript über GPO basteln der da heist: net localgroup "Administratoren" "domäne\%COMPUTERNAME%" /add Vorraussetzung wäre dann natürlich das es eine Sicherheitsgruppe im AD gibt die genau so heist wie der Computername. Ich hab grad kein AD zur Hand, in Bayern ist heute Feiertag :D aber kann man eine Sicherheitsgruppe anlegen die den selben Namen hat wie ein schon vorhandens (Computer)Objekt!? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Eingeschränkte Gruppen ? ... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 IThome, ich kann dir nicht ganz folgen mit Eingeschränkten Gruppen Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Eingeschränkte Gruppen ? ... Definitv!! :cool: @Hirgelzwift Boardsuche! Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 hmmm, bedeutet dann aber das du für jeden PC in der GPO die Benutzer dort manuell tippeln musst? Also PC1=userX PC2=userY PC3=userZ? Verstehe ich das richtig? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Nein, man macht eine Gruppe und fügt die dann der lokalen Grupper deiner Wahl zu. Nur Einzelne auf ihren eigenen Rechnern zu dieser Gruppe hinzufügen macht wenig Sinn.... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Also dann muss ich für jeden PC eine Gruppe erzeugen, wie ich schon erwähnte, schmeiss den Benutzer in die jeweilige Gruppe rein und definiere dann in der GPO Gruppe1=Mitglied der Admins auf PC1 Gruppe2=Mitglied der Admins auf PC2 usw? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Also dann muss ich für jeden PC eine Gruppe erzeugen.... Wie kommst du auf das? Hast du die Boardsuche benutzt? Oder GruLi besucht? Das funzt auch anders. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 - auf PC "WKS02434" lokaler Admin (aber nur auf dieser Maschine) Sorry, hab das nicht gelesen. Falls das wirklich notwendig sein sollte, dann ist man wohl schneller mit Hyena oder im AD Users and Computers rechte Maustaste auf das Computerkonto und dann "Verwalten/Manage"; schon hat man die lokale Computerverwaltung! :thumb1: :cool: Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Entweder bin ich plöd, blind oder beides oder ihr und oder ich habt die eigentliche Aufgabe nicht richtig verstanden. Deswegen hier nochmal die ursprüngliche Problemstellung: Hallo,gibt es eine Möglichkeit (z.B. eine Sicherheitsrichtilinie oder ähnliches) mit welcher dem Administrator eines auf Active Directory - WIN2003 Domäne - basierendens Netzwerkes speziellen USERN administrative lokale Rechte auf ausgewählte Maschinen zu erteilen? z.B. User001 - Im Netzwerk: Domänenbenutzer (mehr nicht) - auf PC "WKS02434" lokaler Admin (aber nur auf dieser Maschine) Die Vergabe der Rechte soll über das AD abgewickelt werden. Gibt es hierfür eine Möglichkeit? Vielen Dank im voraus! Ich verstehe das so: Die PC's sind personalisiert und jeder "Besitzer" soll lokale Admin Rechte erhalten aber eben nur auf seinem PC. Da hilft es mir doch nicht, und so habe ich Eingeschränkte Gruppen verstanden, das ich eine Gruppe erzeuge und die in allen PC's in die Gruppe der lokalen Admins reinstecke. Dann hätte ja jeder auf jedem PC lokale Adminrechte und das ist nicht erwünscht, so wie ich das verstanden habe, oder bin ich jetzt auf dem Holzweg oder in einer Sackgasse und verstehe nur mehr Bahnhof? EDIT: Zu Spät :D Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 @benjamin: Ich habe mich gerade mal in unser Firmennetzwerk verbunden und war in der Lage eine Sicherheitsgruppe anzulegen die genauso heist wie mein PC. Test mal ob du nicht für jeden PC eben eine solche Gruppe erzeugen kannst. Dir das Mitglied reinschmeisst das lokaler Admin sein soll und einen Computerlogonskript erzeugt, wie in Postcount=4 zu lesen ist, das du in eine GPO linkst die auf den Computern angewendet wird. Das wäre der einzige Vorschlag von meiner Seite das einigermasen zu automatisieren. Bisher haben wir noch in allen Firmen in denen ich war die Benutzer händisch in die lokale Admin Gruppe aufgenommen. Das erwähnte Tool kenn ich nicht, kostet aber wahrscheinlich. Es wäre schön wenn du dein Ergebniss wie du zum Ziel kamst hier posten würdest. Zitieren Link zu diesem Kommentar
twenty 12 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Ich kenne eine etwas aufwendigere Lösung. Die User mit lokalen Adminrechten werden in einer Datenbank (vorzugsweise SQL) erfasst. Mit dem Anmeldescript wird eine Seite auf einem Webserver (Windows2003 mit ASP) aufgerufen, die mit den Rechten des Webservers die Gruppe der Administratoren "bereinigt". So wird bei jedem Anmeldevorgang die Gruppe "Administratoren" aktualisiert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.