Administratorenrechte über AD vergeben

[Digglerwin 10]

Hallo Zusammen,

 

ich habe ein Problem mit einen Windows Server 2003 Standard. Auf dem habe ich eine Domäne aufgesetzt funktioniert áuch alles wunderbar.

Nur jetzt sollen 2 Clients in die Domäne hinzugefügt werden, die Administratorenrechte erhalten sollen. Jetzt habe ich im AD 2 Benutzerkonten für diese Benutzerangelegt und habe diese Mitglied der Gruppe Administratoren gemacht.

Dennoch haben diese beiden Benutzer keine Admin-Rechte auf ihren PCs

 

Könnt ihr mir sagen was ich falsch gemacht habe?

 

Gruß Digglerwin

[lefg 276]

Hast Du schon mal probiert, die Benutzer nicht in die Gruppe der Adminsitratoren sondern in die der Domänen-Admins?

 

Ist das aber das wirkliches Ziel? Eigentlich sollen die User doch wohl nur Administrator auf ihrer Workstation werden, oder? Sie sollen doch wohl nicht die Macht über die Domäne gewinnen können, oder? In der Gruppe der Administratoren oder der Domänen-Admins wäre das aber möglich.

 

Nun könnte man auf der Workstation der Gruppe der lokalen Administratoren den einzelnen Domänen-Benutzer hinzufügen oder auch seine Sicherheitsgruppe oder auch die Gruppe der Domänen-Benutzer, das in der lokalen Benutzerverwaltung. Bei wenigen Benutzern und Workstations ist das kein Problem. Bei vielen sollte man sich mit der Gruppenrichtlinie Eingeschränkte Gruppen befassen.

[Digglerwin 10]

Hallo,

 

ja danke das funktioniert. Jetzt sind diese beiden Benutzerkonten nur Mitglieder der Gruppe Domänen-Admins. Macht man das denn immer so? Wofür ist dann die Gruppe Administratoren da?

Jetzt haben diese Benutzer doch auch Admin-Rechte in der Domäne oder? Wie würde ich es machen das sie in der Domäne sind denn noch nur lokal Administratorenrechte haben?

 

Gruß und vielen Danke

[Elendil 10]

http://www.mcseboard.de/windows-forum-ms-backoffice-31/unterschied-gruppen-administratoren-domaenen-admins-80236.html

[lefg 276]

Bitte nenne doch mal das eigentliche Ziel deiner Operation? Sonst kann ich das nicht einschätzen.

 

Bei uns bekommen normale Benutzer keine "Administratorenrechte", sie werden in der Domäne nicht in die Gruppen der Administratoren oder der Domänen-Admins aufgenommen. Das ist bei uns eine grundsätzliche Unternehmensrichtlinie. Nicht einmal der Geschäftsführer gehört dazu oder der Leiter IT.

 

Es gibt Leute in Funktionen, bei denen ist eine Administration des eigenen Rechners ganz oder teilweise zwingend notwendig. Bei uns werden beispielsweise einige User in die lokale Gruppe der Hauptbenutzer aufgenommen. Das geschieht i.d.R. über die Gruppenrichtlinie Eingeschränkte Gruppen.

[Digglerwin 10]

Es ist ein sperates Netzwerk mit einem Server und ca. 10 Clients die auf einen Warenwirtschaftssystem arbeiten sollen. Und 2 PC's sollen Administratorenrechte auf Ihren Clients haben. Und ich wollte diese rechte zentral im AD vergeben.

[lefg 276]

Ich meine, es so sagen zu müssen: Über das AD können keine Rechte vergeben werden. Das AD ist ein Verzeichniss, darin werden z.B. Konten geführt von Sicherheitsgruppen, von Benutzern, von Computern.

 

Was ist nun unter separaten Netzwerk zu verstehen, ein physikalische Netzwerk, ein IP-Segment, eine extra Domäne, eine Arbeitsgruppe?

 

Und 2 PC's sollen Administratorenrechte auf Ihren Clients haben.

Dioeser Satz erscheint total unverständlich, deutet für mich auf ein grundlegendes Missverständnis hin. PC steht für Personalcomputer; greift ein solcher auf einen Serrver zu, dann nimmt er dessen Dienstleistung in Ansprucht und ist damit ein Client (Server-Client Netzwerk).

 

Soll ein Benutzer oder eine Gruppe das Recht auf ein Objekt oder für eine Handung bekommen, muss dieses dafür vordefiniert sein oder ausdrücklich zugestanden werden durch Deligieren. Meist geschieht dieses durch Aufnehmen in eine befugte Gruppe.

[Digglerwin 10]

Es ist ein physikalisch getrenntest Netz mit eigener Domäne die auf dem Server läuft.

Diese beiden Client nehmen die Dienste des Servers in Anspruch auf dem das Warenwirtschaftsystem läuft. Dennoch sollen diese beiden Benutzer über Administratorenrechte Ihrer PC's verfügen.

[lefg 276]

Ein vom Rest des Unternehmens abgetrenntes physikalisches Netz also mit einem Server und zwei Rechnern.

 

Ist der Server denn hochgestuft zum Domänencontroller, sind die Clients in diese Domäne aufgenommen? Haben die beiden Benutzer Konten im AD und/oder auf der Workstation?

[Digglerwin 10]

Ja die beiden PC's sind in der Domäne. Und der Server ist auch natürlich zum DC hochgestuft worden.

[lefg 276]

So wird es doch deutlicher.

 

Willst Du es in der lokalen Benutzerverwaltung der Clients machen oder per Gruppenrichtlinie? Ersteres dürfte einfacher sein und bei zwei Rechnern und Benutzern auch handhabbar.

[lefg 276]

Off-Topic:
Ich gehe erstmal zu Tisch.

[Digglerwin 10]

Wenn ich es lokal mache würde, dann mache ich dem lokalen Administratorkonto am Client den Benutzer der Domäne bekannt ist das so richtig gesagt ;-)?

 

Wie würde es man es denn per Gruppenrichtlinie machen ist sowas aufwendig?

Würde mich interessieren?

[lefg 276]

Wenn ich es lokal mache würde, dann mache ich dem lokalen Administratorkonto am Client den Benutzer der Domäne bekannt ist das so richtig gesagt ;-)?

In der lokalen benutzerverwaltuung gibt es auch die Gruppe der Administratoren, dieser wird der Benutzer aus dem AD hinzugefügt.

Wie würde es man es denn per Gruppenrichtlinie machen ist sowas aufwendig?

Aufwendig ist das nicht, auch nicht wirklich schwierig. Die Richtlinie trägt die Bezeichnung Eingeschränkte Gruppen. Die Hanndhabung wurde hier am Board von Grizzly999 ausgezeichnet dargestellt, weiter wird das Thema bei Gruppenrichtlinien.de behandelt.

 

Das Thema wurde erst neulich behandelt, mit der Funktion Suchen in der Boardleiste dürfte alles Nötige auffindbar sein.

[Sunny61 806]

Wie würde es man es denn per Gruppenrichtlinie machen ist sowas aufwendig?

 

Nein, ist nicht aufwendig, hier ist es beschrieben: Eingeschränkte Gruppen