lokale Benutzerverwaltung in der Domäne

[Ald-Edv 10]

Hallo, ich bin gerade dabei einen Rechner in meine neue Windows 2003 Domäne zu nehmen. Habe den Pc über den Assistent in die Domäne aufgenommen.

 

Habe mich dann mit einem neuen user des Active Directory angemeldet und mein lokales Profil über den Arbeitsplatz kopiert (auf den Domänen User Pfad). So wenn ich mich nun anmelde kann ich überhaupt keine Einstellungen treffen da ich anscheinend für nichts Rechte habe. Wenn ich am Abpl in der Benutzerverwaltung jedoch den User als Domänenmember hinzufüge (als Administrator) habe ich alles wie gewünscht (auch mein Profil funktioniert)

 

Kann mir da jemand sagen warum das so ist und wie ich das für meine ganzen User hinbekomme? Möchte dort lokal nicht alle Benutzer eintrage um sicherzustellen, dass der Mitarbeiter sich auch an einem anderen Pc anmelden kann.

 

Hoffe ich konnte das einigermaßen verständlich rüber bringen.

 

vielen Dank,

[StefanWe 14]

Steck den Benutzer doch in die Gruppe Administratoren von deiner Domäne. Dann sollte der Benutzer überall Admin Rechte haben.

[Ald-Edv 10]

Steck den Benutzer doch in die Gruppe Administratoren von deiner Domäne. Dann sollte der Benutzer überall Admin Rechte haben.

 

klar aber das möchte ich auf keinen Fall der User soll nur Benutzerrechte haben.

 

ich kann doch nicht an allen PCs jeden User der im Active Directory ist eintragen, das muss doch auch anders gehen!?!?

[morio 10]

Ich denke das Problem liegt im Profil. Wenn ich es richtig verstanden habe, hast du das Profil einfach vom alten System in das neue kopiert. Dabei sind in deinem Profil jedochnoch die alten SIDs gespeichert mit denen die Domäne nichts anfangen kann.

 

Versuch es doch mal volgendermassen.

 

1. Profil sichern und aus den Profilverzeichnissen (lokal und am Server) entfernen.

 

2. Dein gewünschtes Profil an dem Rechner an dem der User arbeiten soll lokal unter Dokumenten und Einstellungen\ kopieren und den Profilnamen nach "Default User" umbenennen. Den original Default User würde ich in "Default User.org" umbenennen.

 

3. Den user dann komplett ohne Prifil an dem Rechner anmelden. Es werden dann die Daten aus dem Default User übernommen und mit neuer SID (von der Domäne) versehen.

 

Damit sollte dein User wieder wie gewohnt arbeiten können.

 

Gruß, morio

[Ald-Edv 10]

Hi Morio, ich bin mir nicht ganz sicher, ob du mich richtig verstanden hast, eine neue SID wird ja erstellt wenn ich mich mit dem User zum ersten mal an der Domäne anmelde, es wird ja auch ein neuer Ordner unter c.\dokument... erstellt. Und wenn ich die Userprofile über Arbeitsplatz, Erweitert kopiere wird ja die ntuser.dat ja auch nicht mitkopiert. Es ist mehr eine Allgemeine Frage !

 

Noch mal zusammengefasst:

 

Bisher nur Arbeitsgruppenpc, jetzt Domäne mit AD, PC in Domäne genommen, neu gestartet, melde mich mit dem User an und ich habe keine Rechte auf die lokale Maschine, erst wenn ich über die lokale Benutzerverwaltung einen neuen User anlege mit einem Benutzerkonto für die Domäne und nicht wie es schon eingetrage ist für die Computerdomäne...... Sehr schwer zu umschreiben, wenn ihr fragen habt gerne...

 

Danke

[IThome 10]

Der Domänenbenutzer ist durch die Mitgliedschaft in der globalen Gruppe Domänen-Benutzer , welche beim Joinen automatisch der lokalen Gruppe Benutzer der Workstation zugefügt wird, nur Benutzer auf dem Rechner. Die globale Gruppe der Domänen-Admins wird der lokalen Gruppe Administratoren zugefügt. Der Domänenadmin an sich hat auf dem Rechner überhaupt keine Rechte, genauso wenig wie irgendein anderer Benutzer der Domäne. Sie erhalten die Rechte nur dadurch, weil sie indirekt Mitglied einer lokalen Gruppe sind, der die Rechte erteilt wurden.

Willst Du auf der lokalen Maschine mehr Privilegien für Deine Benutzer erreichen, kannst Du sie in andere lokale Gruppen stecken wie z.B. die Hauptbenutzer. Damit Du nicht zu jedem Rechner rennen musst, kannst Du Dir eine OU erstellen, dort die Clients platzieren und in einem GPO via "Eingeschränkte Gruppen" die Gruppenzugehörigkeiten der lokalen Sicherheitsdatenbanken der Clients verändern ...

[morio 10]

Hi Morio, ich bin mir nicht ganz sicher, ob du mich richtig verstanden hast, eine neue SID wird ja erstellt wenn ich mich mit dem User zum ersten mal an der Domäne anmelde, es wird ja auch ein neuer Ordner unter c.\dokument... erstellt. Und wenn ich die Userprofile über Arbeitsplatz, Erweitert kopiere wird ja die ntuser.dat ja auch nicht mitkopiert.

 

Und genau da liegt das Problem. Wie Schon IThome geschrieben hat, ist der Domänen User nur indirekt mitglied des Rechners durch zuweisen einer lokalen Gruppe. Dies wird beim Anmelden des Users an der Maschine erledigt.

 

Da Windows mit der SID arbeitet die u. A. im Userprofil (ntuser.dat) gespeichert ist, und du diese ja mitkopierts (und somit die erstellte überschreibst, bzw. die alte mit der lokalen ID des Arbeitsgruppenrechners einkopierts), erkennt das system den Benutzer nicht als einem ihm (dem Rechner und der Domäne) zugewiesenen Benutzer und er bekommt per Default Gastrechte. Und somit nahezu keine Rechte.

 

Daher ist es wichtig, die Userbezogene Registry (NTUSER.DAT) zu importieren (z. B. via Neuerstellen des Profils via "Default User") damit die Domänen-SID eingepflegt wird. Dann klappts auch mit den Rechten. ;)

 

Oder einfach die NTUSER.DAT weglassen. Falls da keine relevanten Daten gepeichert sind. Ist allerdngs sehr unwahrscheinlich.

 

Grüße morio

[IThome 10]

Hört sich irgendwie wie ein Missverständnis an. Er kann alles einstellen (was auch immer er damit meint), wenn der angemeldete Domänenbenutzer lokale Adminrechte hat. Ich denke, es geht darum, dem Domänenbenutzer mehr Privilegien zu verschaffen, damit er uneingeschränkter arbeiten kann und das möglichst automatisch ...

Vielleicht beschreibst Du mal, was genau Du meinst mit "er hat keine Rechte". Meinst Du, dass er die Uhrzeit nicht einstellen oder keine Drucker lokal installieren kann z.B. ?