Passwort f. lokalen Admin / Domain Benutzer

[ADAC28 10]

Hi u. Hallo,

 

 

ich würde gern einem Benutzer "lokale Admin-Rechte" geben , soweit kein Problem.

Aber, dieser User ist in der Domain-weiten Umgebung nur "Benutzer".

 

Lege ich einen lokalen User an, muss ein Passwort hinterlegt werden.

Das Passwort wäre dann ein Neues und würde mit der Domain-Anmeldung nicht übereinstimmen. :confused:

 

Oder muss ich dem User eine Aufforderung senden, ein neues Passwort zu wählen ?

 

-------------

- Server 2003

- Client-PC XP(SP2)

- lokale Profile / Domain-Anmeldung (globale AD)

 

 

Danke für eine Antwort.

 

------------------------

bye James

[NorbertFe 2.177]

Hi u. Hallo,

 

 

ich würde gern einem Benutzer "lokale Admin-Rechte" geben , soweit kein Problem.

Aber, dieser User ist in der Domain-weiten Umgebung nur "Benutzer".

 

Ja und? Steck den User in die lokale gruppe der Administratoren auf diesem PC. Ich persönlich würde das nicht tun. User die Adminrechte haben machen den meisten Stress.

 

 

Lege ich einen lokalen User an, muss ein Passwort hinterlegt werden.

Das Passwort wäre dann ein Neues und würde mit der Domain-Anmeldung nicht übereinstimmen. :confused:

 

Ja. Beschäftige dich mit dem Unterschied zwischen lokalen und Domänenkonten und deren Zusammenspiel ;)

 

Bye

Norbert

[nerd 28]

Hi James,

 

um einem Benutzer lokale administratoren Rechte geben zu können brauchst du keinen lokalen Benutzer. Du kannst jedem in der Domäne die entsprechenden Rechte zuweisen. Melde dich dafür am besten als Admin an dieser Workstation an und gehe dort in die MMC Lokale Benutzer und Gruppen.

 

Viele Grüße

[ADAC28 10]

Ja und? Steck den User in die lokale gruppe der Administratoren auf diesem PC. Ich persönlich würde das nicht tun. User die Adminrechte haben machen den meisten Stress.

Ja und Nein. Admin-Rechte werden nur zu einem bestimmten Zeitfenster, nach Absprache, gewährt.

(also, keine permanenten Admin-Rechte)

 

 

Ja. Beschäftige dich mit dem Unterschied zwischen lokalen und Domänenkonten und deren Zusammenspiel ;)

Oh ja - Schreibst du. Also muss ich die Passworte identisch bekommen !?

Wirf mir doch mal bitte einen Link zu.

 

Das Ziel wird sein ; Remote auf dem PCs die User mit Admin-Rechte

versehen, und das ganze wird nach wenigen Minuten wieder gecancelt.

 

Habe ich denn eine elegantere Lösung in Aussicht ?:D

[NilsK 2.982]

Moin,

 

Ja und Nein. Admin-Rechte werden nur zu einem bestimmten Zeitfenster, nach Absprache, gewährt.

(also, keine permanenten Admin-Rechte)

 

wenn der User Admin ist, kann er sich z.B. ein zusätzliches Adminkonto anlegen. Da wird es, wenn er pfiffig genug ist, schwierig, ihm die Adminrechte wieder zu nehmen.

 

Das Ziel wird sein ; Remote auf dem PCs die User mit Admin-Rechte

versehen, und das ganze wird nach wenigen Minuten wieder gecancelt.

 

Das ist erst mal kein Ziel, sondern eine Technik. Mit dieser Technik willst du ja irgendwas erreichen - nur was, hast du bislang nicht kundgetan.

 

Habe ich denn eine elegantere Lösung in Aussicht ?:D

 

Das hängt entscheidend davon ab, was du eigentlich vorhast.

 

Gruß, Nils

[marka 589]

In einer ADS werden Rechte und Berechtigungen nach dem Prinzip "AGDLP" vergeben (Account --> GlobalGroups --> Domainlocal Groups --> Permission).

Das bedeutet, dass Du der Einfachheit halber den entsprechenden Domänenbenutzer in der lokalen Computerverwaltung in die Gruppe der Administratoren aufnimmst. Das musst Du aber mit einem für diesen PC Adminberechtigten User erledigen.

Das geht auch remote, wenn Du in deiner lokalen Computerverwaltung einen anderen PC lädst und dann das ganze erledigst. Mit der nächsten Anmeldung des jeweiligen Users hat er dann Adminrechte.

 

BTW: Lass' Dich nicht provozieren, Norbert beißt nicht, er bellt nur gerne mal...;)

[NilsK 2.982]

BTW: Lass' Dich nicht provozieren, Norbert beißt nicht, er bellt nur gerne mal...;)

 

Off-Topic:

wenn du jetzt noch das Geheimnis lüftest, wo Norbert hier gebellt hat ... er hat auf den entscheidenden Unterschied hingewiesen.

 

Verwundert, Nils

[nerd 28]

Hi,

 

wie Nils schon geschrieben hat wäre es vielleicht am einfachsten wenn du uns kurz beschreiben würdest was du mit der Aktion genau vor hast. Vielleicht gibt es ja tatsächlich eine bessere und vor allem sicherere Lösung. Den Benutzern Adminrechte zu geben sollte immer das letzte sein was man in betracht zieht.

 

Viele Grüße

[marka 589]

@NilsK:

[...]Beschäftige dich mit dem Unterschied zwischen lokalen und Domänenkonten und deren Zusammenspiel ;)

 

Das habe ich gemeint.

Derartige Comments lese ich in letzter Zeit (nicht nur von Norbert!) häufiger. Viele Member springen darauf sofort an und fühlen sich persönlich angegriffen.

Da James noch nicht lange dabei ist (siehe Postcounter), war das rein prophylaktisch...

 

Back2Topic:

 

Es wäre in der Tat gut, wenn Du etwas genauer schildern würdest, was Ihr vorhabt.

Da es unbestritten kritisch ist, einem User Adminrechte zu geben, gibt es vielleicht eine bessere Möglichkeit, um das herauszufinden, benötigen wir aber mehr Input.

[NorbertFe 2.177]

Derartige Comments lese ich in letzter Zeit (nicht nur von Norbert!) häufiger. Viele Member springen darauf sofort an und fühlen sich persönlich angegriffen.

Off-Topic:

Ja, erstens hab ich die Lösung gepostet (alles was danach kam, waren mehr oder weniger Wiederholungen) und zweitens ist dieser Kommentar sicherlich für den OP sogar hilfreich, denn wenn er den Unterschied zwischen Lokal und Domäne nicht versteht wird es irgendwann brenzlig für ihn.

 

Bye

Norbert

[ADAC28 10]

@NilsK:

Es wäre in der Tat gut, wenn Du etwas genauer schildern würdest, was Ihr vorhabt.

Da es unbestritten kritisch ist, einem User Adminrechte zu geben, gibt es vielleicht eine bessere Möglichkeit, um das herauszufinden, benötigen wir aber mehr Input.

 

 

OK also vorab, ich bin den langen Weg gegangen und habe die AD um eine

Gruppe erweitert. Nun gibt es " User_lokal_Admins " .

(Für die Gedankenjäger; warum nicht gleich so. Die AD umfasst viele Clients,

sehr viele. Da muss gut überlegt werden ob eine neue Gruppe erstellt wird.

Auch kann das nie ein Admin allein entscheiden)

 

--------------------------

Meine Ziel war und ist ;

 

An anderen Standorten (andere Städte) müssen zwei kleine aber wichtige

" Active-X-Steuerelemente " u. anderer Kleinkram, die nicht durch das System verteilt werden konnten

(der Erbauer war nicht kooberatiev) , eingespielt werden.

Hierzu benötigten die User für die Dauer der Installation, Admin-Rechte.

--------------------------

 

Das war es erst einmal. Ich schreibe THX ! :)

[nerd 28]

Hi,

 

braucht das Active-X wirklich Adminrechte? Ich würde ggf. mal mit dem sysmon schauen welche Dateien etc. angefasst werden. Oft reicht es schreibrechte auf bestimmte Teile in der Registry zu erteilen. Ist auch nicht das Beste, aber um Welten besser als Adminrechte zu verteilen...

 

Viele Grüße

[NorbertFe 2.177]

(Für die Gedankenjäger; warum nicht gleich so. Die AD umfasst viele Clients,

sehr viele. Da muss gut überlegt werden ob eine neue Gruppe erstellt wird.

Auch kann das nie ein Admin allein entscheiden)

 

 

Umso schlimmer, dass du in einem AD, das sehr viele Elemente umfaßt, auf die denkbar schlechteste Lösung kommst. ;)

Kann man das ActiveX nicht mittels MSI an die PCs verteilen?

 

Bye

Norbert

[ADAC28 10]

Umso schlimmer, dass du in einem AD, das sehr viele Elemente umfaßt, auf die denkbar schlechteste Lösung kommst. ;)

Kann man das ActiveX nicht mittels MSI an die PCs verteilen?

Bye Norbert

 

Ja leider können die Dateien nicht verteilt werden.

Nur eine Anmeldung an der Web-Site ermöglicht das Downloaden der Daten.

Um Daten einspielen zu können, müssen diese auch vorliegen. Ist aber nicht,

und wird auch nicht.:suspect: