Benutzerrechte Phänomen

[anfaengerin 10]

Liebe Profis,

 

seit einiger Zeit habe ich ein Phänomen in unserer W2K Domäne mit den Benutzerrechten.

Im AD erteile ich manchen Benutzern kurzzeitig Admin Rechte (Domänen-Admin), damit ich bestimmte Programme problemlos installieren, und der Benutzer sie vor allem problemlos benutzen kann.

 

Nun habe ich festgestellt, dass egal wie lange ich warte, egal ob Neustart oder nicht, die Admin-Rechte erst beim 2. Mal greifen! D.h. der Benutzer muss sich abmelden, anmelden, abmelden, anmelden - dann greifen die Berechtigungen.

 

ABSOLUT NERVIG!

Wer weiß Abhilfe?

[elboah 10]

Das kann sein.

 

Wir führen jedesmal vor dem ersten Abmelden gpupdate /force aus. Dann klappts!

[anfaengerin 10]

Hallo,

 

vielen Dank, aber diese Option kannte ich.

 

Da dies erst seit kurzem ist und wir keine Änderungen in der Gesamtstruktur und bei den Richtlinien oder sonst irgendwo hatten, würde mich aber interessieren, was da los ist.

Keine besonderen Fehlermeldungen im Eventlog. Wirklich nichts was auffällig wäre.

 

Was läuft da falsch? Weiss wirklich keiner was?

[IThome 10]

Die Benutzer werden zu Domänen-Admins gemacht, damit sie etwas installieren können :shock: (lokale Administratoren würde vollkommen ausreichen, ist aber auch absolut nicht zu empfehlen) ? Habt Ihr mehrere DCs ?

[anfaengerin 10]

Hallo,

nein, Benutzer werden zu Admins gemacht damit ICH bestimmte Software installieren kann.

Z. B. unser CTI Tool. Es muss unter dem Benutzer installiert werden. Damit die Installation aber erfolgreich verläuft muss der Benutzer bei der Installation Adminrechte haben.

 

Ich vergebe also Admin-Rechte, melde mich mit dem Benutzer an (2x) und installiere anschließend die Software. Dann nehme ich die Admin Rechte wieder raus.

Lokaler Admin reicht aus, das ist richtig. Macht aber die gleiche Arbeit und ich habe keinen oder kaum Vorteil davon. Außerdem hätte ich nicht gemerkt, dass mit den Benutzerrechten irgendwas nicht stimmt :-)

 

Wir haben 2 DC, mehrere Memberserver, TS-Servers und SQL Servers und 100 Clients (XP, W2K und Mac) in Land und 70 VPN Benutzer.

 

Es ist ja nicht so, dass dieser Fehler schwerwiegend wäre, aber es nervt ganz einfach.

[Sunny61 806]

Z. B. unser CTI Tool. Es muss unter dem Benutzer installiert werden. Damit die Installation aber erfolgreich verläuft muss der Benutzer bei der Installation Adminrechte haben.

 

OK.

 

Ich vergebe also Admin-Rechte, melde mich mit dem Benutzer an (2x) und installiere anschließend die Software. Dann nehme ich die Admin Rechte wieder raus.

 

Die Adminrechte vergibst Du über GPO, wie hier beschrieben: Eingeschränkte Gruppen

 

Wir haben 2 DC, mehrere Memberserver, TS-Servers und SQL Servers und 100 Clients (XP, W2K und Mac) in Land und 70 VPN Benutzer.

 

Du änderst das auf einem DC, Replizierst mit dem anderen DC und machst anschließend auf dem Client ein gpupdate /force am besten 2 mal. Dann sollte es funktionieren.

[IThome 10]

Das ist doch viel zu umständlich, zumal nicht auf allen Geräten gleichzeitig Administrationsberechtigungen benötigt werden. Das lässt sich besser mit einer benutzerdefinierten MMC-Konsole (wenn es vom Adminplatz aus gemacht wird) oder mit LUSRMGR.MSC und RUNAS auf dem betreffenden Platz machen. Das ist aber auch gar nicht die Frage. Die Frage ist, warum man sich als Domänenadmin (ob das jetzt gut ist oder nicht) nicht sofort an einem Client anmelden kann, sondern sich 2! mal ab- und wieder anmelden muss und selbst das Abwarten der Replikation ändert daran nichts (so habe ich es zumindest verstanden).

Ich würde es mal so versuchen, dass der entsprechende Benutzer den Domänen-Admins zugefügt wird, mit Active Directory Standorte und Dienste wird repliziert (sollte eigentlich gar nicht nötig sein). Danach zum betreffenden Arbeitsplatz, abmelden und wieder anmelden. GPUPDATE /FORCE ist unnötig ...

[anfaengerin 10]

Hallo IThome,

 

genau das ist das Thema: Die zweimalige Aktion. Dass es nicht die Ideallösung ist, ist eh klar. Aber da es nur ab und an vorkommt, ist dieser Turnschuhsupport durchaus praktikabel - weil schnell!

Danke - ich werde mal so vorgehen wie Du vorgeschlagen hast.

[Tonai 10]

Ich versuche zur Zeit etwas ganz ähnliches: Da ich jedoch wirklich nur temporär lokale Adminrechte ermöglichen möche, habe ich mich für folgende Lösung, die ich im Internet gefunden habe, entschieden:

 

Als Alternative für Installationen auf lokalen Rechnern, bei denen Administratoren-Rechte benötigt werden, würde sich folgende weitere Vorgangsweise - diesmal ganz ohne fremde Hilfsmittel - anbieten:Vorbereitungsarbeiten:

 

Domäne: Anlage einer neuen Domänengruppe, z.B. LocalTempAdmins

Client: Anlage einer lokalen Benutzergruppe mit Admin-Rechten

Client: In dieser neuen lokalen Benutzergruppe ist die neue o.a. Domänengruppe Mitglied

Sollen nun bestimmte Benutzer kurzfristig Admin-Rechte für eine Installation haben:

 

Schieben dieser Benutzer zentral in die neue Domänengruppe, damit haben sie automatisch lokale Adminrechte

 

Leider klappt das so nicht! Weiss hier evtl jemand Rat?

 

Vielen Dank!

[IThome 10]

Wie lautet Dein NET-Befehl ?

PS: Beim nächsten Mal bitte einen eigenen Thread eröffnen ...

[Tonai 10]

Sorry, ich dachte da es ungefähr zusammenhängt schreibe ich es auch gleich hier rein.

 

Mein konkreter Fall sieht so aus:

Im AD gibt es die Benutzergruppe "Installation"

 

Auf dem Testclient habe ich mit "net localgroup install /add" die lokale Benutzergruppe erstellt.

Danach mit "net localgroup administratoren /add install" die lokale Gruppe Install in die Gruppe der lokalen Administratoren verschoben.

Und wenn ich danach im AD den User in die Gruppe "Installation" aufnehme passiert nichts. Auch nach x-fachem Neustart nicht.

 

Ich habe auch schon versucht die Gruppe "Installationen" direkt zu der Gruppe der lokalen Administratoren hinzuzufügen. Aber auch so kriege ich nicht das gewünschte Resultat.

[Sunny61 806]

Probiers mal nach diesem HowTo: Eingeschränkte Gruppen

[IThome 10]

Warum so kompliziert ? Füge die globale Domänengruppe Installation direkt den lokalen Administratoren zu ... Im Beispiel heisst die Domäne "DOM" ...

NET LOCALGROUP ADMINISTRATOREN /ADD DOM\INSTALLATION

Dann in die Domänengruppe Installation den User rein, auf dem Client als dieser Benutzer anmelden (wenn er angemeldet ist, muss er sich vorher abmelden) und dann ist er Administrator ...

[Tonai 10]

Das habe ich auch schon versucht.Leider funktioniert das so aber nicht nicht.

Der User erhält die lokalen Adminrechte nur dann, wenn er zuerst zur Gruppe "Installation" hinzugefügt wird und diese Gruppe erst danach in die Gruppe der lokalen Administratoren eingetragen wird.

Wenn die Gruppe Installation bereits Mitglied der lokalen Admin Gruppe ist, und der Benutzer im AD danach der Gruppe "Installation" zugefügt wird, klappt da mit den Adminrechten nicht. Auch nach Neustart des Client nicht.

 

Wenn dann der User wieder aus der Gruppe "Installation" entfernt wird, dann kümmert das den Client ebenfalls nicht. Der Benutzer behält die Adminrechte auch nach einem Neustart des Clients. Die Adminrechte sind erst wieder weg, wenn die leere Gruppe "Installation" wieder der lokalen Administratorengruppe hinzugefügt wurde.

 

Das ganze bringt mich fast zum verzweifeln...:confused:

[IThome 10]

Kann nicht sein, das funktioniert überall so ... Benutzer in globale Gruppe, globale in lokale Gruppe, Rechte und Berechtigungen werden der lokalen Gruppe gegeben.

Ist auch wirklich eine globale Gruppe Mitglied der lokalen Administratorengruppe ? Zugefügt mit NET LOCALGROUP ADMINISTRATOREN /ADD DOM\INSTALLATION ? Und Du fügst den Benutzer auf dem DC der Gruppe INSTALLATION zu ?

Wenn ja, dann stimmt da anderweitig etwas nicht in Deiner Konfiguration ...