MakkuZ 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 hallo zusammen, ich bin auf ein problem gestoßen das leider im netz noch nicht sehr verbreitet zu sein scheint. wenn man unter windows 7 pro einer domäne beitritt ist erstmal alles wie gewohnt. zum schluss des assistenten fehlt jedoch die von win 2000 und XP bekannte seite auf der man angibt welche lokalen benutzerrechte dem domönen konto zugeordnet werden sollen. hier konnte man früher den punkt "andere" wählen und sich so selbst zum lokalen administrator machen. achtung, ich rede hier NICHT von rechten in der domäne! heißt im klartext, nach dem domänenbeitritt lässt sich kein programm mehr installieren ohne vorher den sysadmin zu rufen. der bin ich leider selbst ;) einzige mehr als umständliche möglichkeit die ich gefunden habe: nach dem beitritt wieder abmelden und auf den lokalen administrator des PCs wechseln, hier über die computerverwaltung -> lokale benutzer und gruppen das domänen konto mit in die gruppe der loaklen administratoren packen. aber das kann doch nicht der einfachste weg sein oder? wenn ja ist eine frechheit ein derartiges feature mal wieder zu "verschlimmbessern". für eine lösung wäre ich mehr als dankbar, da ich das in den kommenden wochen und monaten wohl einige hundert mal machen muss... mfg MakkuZ Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Die von Dir beschriebene Vorgehensweise bzw. das Verhalten habe ich noch nicht gesehen. Wir nehmen Clients immer über [Windows]+[R] --> Sysdm.cpl --> Register "Computername" --> [Ändern] in die Domäne auf, da erscheint kein Assistent, der anschließend nach den gewünschten lokalen Rechten des Domänenbenutzers fragt... Aber ich halte es für sicherheitskritisch, da auch ein Normalbenutzer einen PC in die Domäne bringen kann, zumindest für eine begrenzte Anzahl Hosts. Wenn ein Normalbenutzer nach dem Domänenbeitritt gefragt wird, welche lokalen Rechte er haben möchte, finde ich das schon fatal, denn er könnte unberechtigterweise sich selbst lokale Adminrechte zuweisen. In sofern ist das imho keine Frechheit und kein Verschlimmbessern, sondern einen Gewinn an Sicherheit... Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Nachdem du den Domainjoin ausgeführt hast (aber bevor du die Maschine rebootest) kannst du mit lusrmgr.msc den gewünschten Benutzer bereits in die lokale Administratoren-Gruppe hinzufügen. Eine erneute Anmeldung ist nicht notwendig. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Dafür gibts Eingeschränkte Gruppen im AD. Zitieren Link zu diesem Kommentar
MakkuZ 10 Geschrieben 30. Oktober 2009 Autor Melden Teilen Geschrieben 30. Oktober 2009 Die von Dir beschriebene Vorgehensweise bzw. das Verhalten habe ich noch nicht gesehen. Wir nehmen Clients immer über [Windows]+[R] --> Sysdm.cpl --> Register "Computername" --> [Ändern] in die Domäne auf, da erscheint kein Assistent, der anschließend nach den gewünschten lokalen Rechten des Domänenbenutzers fragt... Aber ich halte es für sicherheitskritisch, da auch ein Normalbenutzer einen PC in die Domäne bringen kann, zumindest für eine begrenzte Anzahl Hosts. Wenn ein Normalbenutzer nach dem Domänenbeitritt gefragt wird, welche lokalen Rechte er haben möchte, finde ich das schon fatal, denn er könnte unberechtigterweise sich selbst lokale Adminrechte zuweisen. In sofern ist das imho keine Frechheit und kein Verschlimmbessern, sondern einen Gewinn an Sicherheit... ich nutze aber üblicherweise den "netzwerkkennung" assistenten und nicht den punkt den du hier ansprichst. ein sicherheitsrisiko stellt das jedoch nicht dar, da für den assistenten die domänenadmin daten erforderlich sind. folglich kann nur der admin einen PC einbinden und der kann auch entscheiden ob der entsprechende user dem der PC gehört lokale admin rechte haben soll oder nicht. für alle anderen tipps bedanke ich mich schonmal und werde sie mal testen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Moin, auch im Assistenten benötigt man keine Domänen-Adminrechte, um einen Computer der Domäne hinzuzufügen, sondern nur ein Domänenkonto. Einem Benutzer, der über lokale Adminrechte verfügt, ist es jederzeit möglich, weitere lokale Admins zu definieren. Das war schon unter NT so und ist unter 7 nicht anders. Insofern liegt hier weder eine Änderung noch eine Frechheit vor. Im Übrigen wäre es nett, wenn du die Shift-Taste einsetzen würdest. Deine Tastatur hat extra zwei davon. Gruß, Nils Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Ein Normalbenutzer (lokale Sicherheitskontendatenbank) konnte noch nie einen Rechner der Domäne zufügen ... man kann einen Normalbenutzer (Active Directory) benutzen, um das Computerobjekt im AD zu erzeugen. Dafür muss man aber trotzdem lokale Administrationsrechte auf dem zuzufügenden Rechner haben, um das Joining überhaupt durchführen zu können ... Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 3. November 2009 Melden Teilen Geschrieben 3. November 2009 Ein Normalbenutzer (lokale Sicherheitskontendatenbank) konnte noch nie einen Rechner der Domäne zufügen ... man kann einen Normalbenutzer (Active Directory) benutzen, um das Computerobjekt im AD zu erzeugen. Dafür muss man aber trotzdem lokale Administrationsrechte auf dem zuzufügenden Rechner haben, um das Joining überhaupt durchführen zu können ... Per Default jedoch maximal nur 5 PCs ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 3. November 2009 Melden Teilen Geschrieben 3. November 2009 Moin, Per Default jedoch maximal nur 5 PCs ;) fast richtig. Zehn. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.