ablaze 10 Geschrieben 7. Mai 2009 Melden Teilen Geschrieben 7. Mai 2009 Hallo zusammen, ich habe folgendes Problem: Verschiedene User innerhalb meiner AD (Win Server 2003) benötigen gelegentlich lokale Administrationsrechte auf ihren PCs (Win XP). Generell ist es so geregelt, dass der Benutzer mit dem täglich gearbeitet wird nur die normale Benutzerrechte auf dem PC hat. Ich weiß, dass ich über die GPO/ Eingeschränkte Gruppen einen Domänenuser in die Gruppe der Lokalen Administratoren hinzufügen kann. Nur das will ich nicht, da dann der User immer mit lokalen Administratorrechte arbeitet… Als Lösung dachte ich mir, dass ich einen zweiten Benutzer (Nachname_admin) innerhalb der AD anlege und diesen dann über die Eingeschränkte Gruppen der lokalen Administratoren hinzufügen. Nur kann ich mir vorstellen, dass dann verschiedenen Personen dauerhaft mit diesem Account arbeiten. Gibt es eine Möglichkeit den zweiten Benutzer-Account nach 10 Minuten automatisch abzumelden? Vielen Dank Zitieren Link zu diesem Kommentar
macabros 10 Geschrieben 7. Mai 2009 Melden Teilen Geschrieben 7. Mai 2009 Hallo, das über einen separaten Admin User zu regeln ist genau der richtige Weg. Und wenn du diesen entsprechend auf den lokalen Rechner einschränkst sodass er weder Zugriff auf die Netzwerklaufwerke sowie Exchange usw. besitzt, wird er auch gezwungen sein, wenn er wieder normal arbeiten will, den Benutzer zu wechseln. keine Anleitung nur Anregung: Wenn du allerdings dennoch möchtest das der PC sich automatisch abmeldet, dann verankere das doch einfach in den jeweiligen Loginscript. Stelle mir da einen Lösung mit den kleinen aber feinen Tool "Poweroff" vor. Manuell müsstest du dann das Adminkonto für einen gewissen Zeitraum freischalten. wenn man mal so nebenbei fragen darf. Wofür benötigt der Benutzer zwischendurch Admin Rechte? vll. läßt sich das Problem ja auch ganz anders lösen. Gruß MacabroS Zitieren Link zu diesem Kommentar
ablaze 10 Geschrieben 7. Mai 2009 Autor Melden Teilen Geschrieben 7. Mai 2009 Vielen Dank für deine schnelle Antwort. Die User sind sehr spezielle Power User "Abteilungsleiter" welche von der alten Domäne gewohnt sind lokale Adminrechte zu haben.....es liegt eher an den Benutzer hinterm Bildschirm. Das mit dem Tool Poweroff ist schon mal ein Anfang. Was mir an der Lösung nicht gefällt, wenn er lokale Adminrechte hat, kann er den Prozess doch einfach beeenden....oder? Ich hätte gern eine Lösung welche ich auf dem DC einrichten kann. Zitieren Link zu diesem Kommentar
sschulz80 10 Geschrieben 7. Mai 2009 Melden Teilen Geschrieben 7. Mai 2009 Vielen Dank für deine schnelle Antwort. Die User sind sehr spezielle Power User "Abteilungsleiter" welche von der alten Domäne gewohnt sind lokale Adminrechte zu haben.....es liegt eher an den Benutzer hinterm Bildschirm. geht es einfach nur darum das Adminrecht zu haben oder wird es von den entprechenden Personen auch gebraucht ? wenn ja wofür ? wenn nein würde ich Aufklärungsarbeit bevorzugen Zitieren Link zu diesem Kommentar
ablaze 10 Geschrieben 7. Mai 2009 Autor Melden Teilen Geschrieben 7. Mai 2009 Die Rechte werden auch gebraucht, wenn der User zB feststellt, dass er am Sonntag sofort das schicke Tool auf seinem Laptop braucht.... Zitieren Link zu diesem Kommentar
lamu 10 Geschrieben 7. Mai 2009 Melden Teilen Geschrieben 7. Mai 2009 Ich schubse in so einem Fall den User in die Gruppe Lokale_Admins und nehme ihn später wieder raus. Sprich: er muß mich informieren, was er zu tun gedenkt. Bei der nächsten Anmeldung ist er wieder normaler Domänen User. Und falls er meint, sich einfach nicht mehr abzumelden. Lasse ich nachts per Shutdown die Kiste durchstarten. Gruss lamu Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Mai 2009 Melden Teilen Geschrieben 7. Mai 2009 Hallo, möglicherweise hilft das weiter: http://www.mcseboard.de/windows-forum-allgemein-28/gpo-gesperrten-computer-benutzer-zeitabhaengig-abmelden-65327.html Viel Erfolg Edgar Zitieren Link zu diesem Kommentar
macabros 10 Geschrieben 7. Mai 2009 Melden Teilen Geschrieben 7. Mai 2009 Abgesehen davon das ich meinen Usern schon beibringen würde warum se nun keine Admin Rechte mehr besitzen, hätte ich noch einen Ansatz... Wiederum nur einen Ansatz nix getestet ;) sorry lefg hab deinen Link jetzt nicht gelesen. Wenn du ausschließen willst das der User den Prozess zum abmelden/neu starten nicht beenden kann, dann hast du wohl keine andere Wahl als den Prozess wirklich von dem DC aus zu intiieren. Da ich noch nie in der GPO über einen derartigen Eintrag gestolpert bin, denke mir das in etwa so: Du schreibst, auf dem DC, eine Batch, VB, oder was weiß ich Datei in der du mittels z.b. net sessions den User und den Rechnernamen ausließt, sollte die Batch feststellen das an dem Rechner ein Benutzer mit Admin Rechten fungiert so sendet diese mit dem remote shutdown Befehl einen (zeitgesteuerten "geplante Tasks") neustart ( ob abmelden funktioniert weiß ich nicht ) allerdings läufst du natürlich Gefahr das der shutdown genau während einer Installation gesendet wird. Naja ist einfach mal so nen Gedanke. (evtl. kannst du ja noch mit der Ruhezeit spielen) Gruß MacabroS Zitieren Link zu diesem Kommentar
ablaze 10 Geschrieben 8. Mai 2009 Autor Melden Teilen Geschrieben 8. Mai 2009 @ macabros Freiwillig will ich den Usern keine Adminrechte geben....nur wenn die Geschäftsleitung das so möchte...dann muss man sich der Entscheidung nach langer Diskussion beugen. Bei der Syntax von „shutdown“ steht: /l Meldet den aktuellen Benutzer sofort und ohne ein Zeitlimit ab. Sie können /l nicht zusammen mit /m \\Computername oder /t verwenden. Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 8. Mai 2009 Melden Teilen Geschrieben 8. Mai 2009 Hallo, einen shutdown kann man noch mit /a abbrechen, wenn noch Zeit bis zum eigentlichen shutdown-Ereignis ist. Ich würde es auch nicht toll finden, wenn ich zB. ein größeres Paket installiere und dann mittendrin so eine Abmeldung kommt. Spätestens nach dem zweiten Versuch würde ich bei Dir auf der Matte stehen ;) Grüße, Robert Zitieren Link zu diesem Kommentar
ablaze 10 Geschrieben 8. Mai 2009 Autor Melden Teilen Geschrieben 8. Mai 2009 Ich würde die Zeit bis zum abmelden auf eine halbe stunde/ stunde stellen. Während dieser Zeit sollten mal schon genügen Programme installieren können :)) ...Wenn ich nichts der gleichen unterneheme werde die User dauerhaft mit dem Admin Account arbeiten...somit kann ich sie gleich den normalen User mit lokalen Adminrechten ausstatten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.