ufu 10 Geschrieben 2. Juli 2007 Melden Teilen Geschrieben 2. Juli 2007 Hallo zusammen, ich bin nicht wirklich der scripting mensch, daher wende ich mich hier an Euch ;) Aus bestimmten Gruenden ist es noetig, einer bestimmten Abteilung einen Benutzer Anzulegen mit Lokalen ADminrechten (dieser ist Domaenen Benutzer). Nun koennen die Herrschaften ja Problemlos ihre "normalen Domaenenuser" ebenfalls zu den lokalen ADmins hinzufuegen. Ich moechte das natuerlich NICHT und suche nun eine moeglichkeit evtl sogar schon Beim Start des REchners ueber GPO die Gruppe der lokalen ADmins auf den "normalen" user zu checken und gegebenenfalls zu loeschen. Der extra eingerichtete User faengt immer mit ADM an soll aber erhalten bleiben. kann mir da vielleicht jemand weiterhelfen ? habe leider keine idee, wie ich die beiden user auseinander halten kann im script !? gegebenenfalls alle normalen user raus und danach wieder die berechtigten rein !? steh irgendwie auf dem schlauch... Danke fuer jede Hilfe. Gruss ufu Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juli 2007 Melden Teilen Geschrieben 2. Juli 2007 Sowas kannst Du mit "Eingeschränkten Gruppen"/Gruppenrichtlinie lösen. "Eingeschränkte Gruppen" sind ersetzend ... Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de Zitieren Link zu diesem Kommentar
ufu 10 Geschrieben 2. Juli 2007 Autor Melden Teilen Geschrieben 2. Juli 2007 Hi IThome, Vielen Dank fuer deine Antwort ! Sowas kannst Du mit "Eingeschränkten Gruppen"/Gruppenrichtlinie lösen. "Eingeschränkte Gruppen" sind ersetzend ... hmm...jaaa....das kenn ich...aber die haben eben diesen bestimmten ADMUSer um auf ihren KIsten zu basteln...diese muesste ich ja wiederrum in eine Gruppe packen und somit waeren alle aus der abteilung dann lokale admins auf ALLEN rechnern innerhalb der Abteilung (bzw. des umkreises der OU ). aber ich befuerchte, das dies das mittel der wahl ist...oder ? ;-) Danke nochmal ufu Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juli 2007 Melden Teilen Geschrieben 2. Juli 2007 Ähm, wieso sind alle User auf allen Rechner Admins ? Und wen willst Du in Gruppen packen und wozu ? Dieser User und der Administrator sind lokale Admins auf allen Rechnern. Wenn man sich mit diesem User anmeldet, kann man natürlich andere Benutzer in die lokale Administratorengruppe stecken, bei der nächsten Gruppenrichtlinienaktualisierung war´s das aber mit dem lokalen Administrator. Wenn natürlich jeder Benutzername und Kennwort eines lokalen Administrators kennt, naja, ... Dieser User soll also nicht in die lokale Administratorengruppe der Rechner ? Wo soll er denn hin ? Zitieren Link zu diesem Kommentar
ufu 10 Geschrieben 2. Juli 2007 Autor Melden Teilen Geschrieben 2. Juli 2007 sorry fuer die verwirrung...spezialitaet von mir ;) also: in einer abteilung sind 5 leute, JEDER dieser 5 erhaelt zusaetzlich zum "normalen" domaenen benutzer einen useracount der mit ADM anfaengt. z.b. admhastenich. der account admhastenich soll nur auf der maschine von herrn hastenich lokaler admin sein, sonst nirgends. daher meinte ich, das ich dann eine gruppe erstellen muss, die admhastenichs da rein packen und diese dann zur gruppe der lokalen admins ueber die eingschraenkten gruppen hinzufuegen. oder bin ich nun total verwirrt ? ufu Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juli 2007 Melden Teilen Geschrieben 2. Juli 2007 Achso, in diesem Szenario wäre es natürlich nicht gut, diese User in jede Administratorengruppe zu stecken, da hast Du schon recht. Du kannst ja z.B. 5 GPOs erstellen, in jedem einzelnen GPO fügst Du die Domänen-Admins, den Administrator und einen der ADMxxx User in den Eingeschränkten Gruppen den Administratoren zu. Die Anwendung erfolgt über Sicherheitsfilter, also wird die die Richtlinie, die ADMhastenich definiert, nur auf dem Rechner von Hastenich angewendet. So ist einerseits sichergestellt, dass er dauerhaft keine anderen Benutzer zum Admin machen kann und andererseits wird nur auf einem bestimmten Rechner zugefügt. Hast Du allerdings viele Abteilungen mit jeweils 5 solcher User, wird das unpraktikabel oder zumindest sehr aufwändig ... Zitieren Link zu diesem Kommentar
ufu 10 Geschrieben 2. Juli 2007 Autor Melden Teilen Geschrieben 2. Juli 2007 Hi, jau...so wird es wohl sein muessen. leider ist eben die situation so, das da keiner "mal auf den tisch haut" um diesem "ich brauche aber die lok. adminrechte" ein ende zu bereiten. ich hatte mal die hoffnung, das ganze mit einer softwarevertilung zu erschlagen...aber leider hab ich da nicht mit der bauernschlaeue einzelner gerechnet... ich danke dir jedenfalls fuer deine hilfe !!! Gruss aus FFM ufu P.S: Da faellt mir noch was ein: WEnn ich das per GPO durchziehe und der user seinen domaenenbenutzer nach der anmeldung in die gr. der lok. admins packt, dann behaelt er doch die rechte, bis zum naechsten ab / anmelden, oder ? somit bringt doch auch das ersetzen durch die gpo nicht viel, trotz 90 min. intervall ?! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. Juli 2007 Melden Teilen Geschrieben 3. Juli 2007 Ja , das Token bekommt er beim Anmelden ... Das ist aber alles in allem keine befriedigende Lösung, aber wenn es nicht anders geht, irgendwas ist ja immer :D Zitieren Link zu diesem Kommentar
ufu 10 Geschrieben 3. Juli 2007 Autor Melden Teilen Geschrieben 3. Juli 2007 Ja , das Token bekommt er beim Anmelden ... Das ist aber alles in allem keine befriedigende Lösung, aber wenn es nicht anders geht, irgendwas ist ja immer :D *seufz*....du sagst es. das einzige was hier abhilfe schaffen koennte, waeren durchdachte reglementierungen und ein gut durchdachtes berechtigungskonzept, und mal 4 bis 5 neue IT mitarbeiter und und und :D Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. Juli 2007 Melden Teilen Geschrieben 3. Juli 2007 Wozu brauchen diese Leute denn lokale Adminrechte, wurde Hauptbenutzer auch reichen? Zitieren Link zu diesem Kommentar
ufu 10 Geschrieben 4. Juli 2007 Autor Melden Teilen Geschrieben 4. Juli 2007 Wozu brauchen diese Leute denn lokale Adminrechte, wurde Hauptbenutzer auch reichen? Hi, JEIN...die adminaccounts sind fuer eine fachanwendung und deren addons die sie immer wieder mal installieren muessen. die restlichen aufgaben sind eigentllioch alle mit dem domaenenbenutzer machbar.(RUNAS verstehen sie leider nicht....) aber wie das so ist: wenn man in einer Abteilung arbeitet, die "irgendwas" supporten muss, brauchts schon gleich ADMINrechte... hoert sich doch einfach schicker an, oder ? da kommen dann schon mal so saetze wie: "mit dem 'verliereraccount' geht der kram nicht, meld ich mich mit dem 'winneraccount' an, klappt alles. das sind die momente, in denen ich mir wuensche, ich haette keine vorgesetzten und genug asche um DANACH noch weiterleben zu koennen... so panne sich das wahrscheinlich alles liest, aber das unternehmen befindet sich gerade im umbruch und einige koennen und WOLLEN vor allem nicht vom gewohnheitsrecht abweichen...und wenn dann "oben" in der IT keiner mal ein echtes machtwort spricht, wird s eben nichts... ..und jeden tag ist man dann gezwungen entegegen jeglichen besseren wissens zu handeln. Gruss ufu Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Juli 2007 Melden Teilen Geschrieben 5. Juli 2007 @ufu Ich kenne das, habe es auch ertragen (müssen), lasse es heute nicht mehr an mich rankommen. Falls der Chef meint, die Putzfrau und der Hausmeister brauchen Adminrechte, dann ist das dem Chef seine Verantwortung, nicht meine. Und damit bin ich einfach durch, ich habe da keine schlaflosen Nächte. Zitieren Link zu diesem Kommentar
reinersw 10 Geschrieben 9. Juli 2007 Melden Teilen Geschrieben 9. Juli 2007 @ufu Ich kenne das, habe es auch ertragen (müssen), lasse es heute nicht mehr an mich rankommen. Falls der Chef meint, die Putzfrau und der Hausmeister brauchen Adminrechte, dann ist das dem Chef seine Verantwortung, nicht meine. Und damit bin ich einfach durch, ich habe da keine schlaflosen Nächte. Wenn Du das so gut hinbekommst, freue Dich. Leider kennen die Admins dieser Welt andere Situationen. Meist sind sie auch dann noch die Deppen, wenn das so eindeutig besprochen wurde und in vielen Fällen noch schriftlich fixiert wurde. Als Dienstleister kannste dann entweder auf deinem Recht bestehen oder dir gleich einen neuen Kunden suchen. Wir brauchen eine durchetzungsfähige IT-Gewerkschaft. Zitieren Link zu diesem Kommentar
TheDonMiguel 11 Geschrieben 9. Juli 2007 Melden Teilen Geschrieben 9. Juli 2007 Als Dienstleister kannste dann entweder auf deinem Recht bestehen oder dir gleich einen neuen Kunden suchen. Als Dienstleister hat man oftmals die benötigte Distanz und hat deswegen auch eine andere Ausgangslage wie der "interne Admin". Ich (Dienstleister) habe eigentlich nur eine beratende Funktion und handle im Auftrag / Interesse des Kunden. Der Entscheided und bezahlt auch alles, also sind seine Entscheidungen entweder falsch oder richtig ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Juli 2007 Melden Teilen Geschrieben 9. Juli 2007 Auch wenn sie fast immer falsch sind (Geiz ist geil z.B.) sind wir Dienstleister ja trotzdem immer die Leidtragenden ... :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.