Jump to content

trotz Mitglied der Administratoren Gruppe keine Adminrechte am Client


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

sorry falls das Thema schon behandelt wurde aber ich suche vielleicht mit den falschen Begriffen.

 

Habe USER im AD eingerichtet die außer der Standard-Gruppe "Domänen-Benutzer" auch noch Mitglied der Administratorengruppe sind.

 

Dennoch haben diese USER keine Adminrechte auf den Clients.

 

Server 2008 Standard

Clients XP und Windows 7

 

... und was mach ich falsch?

 

Welche Infos benötigt Ihr noch ?

 

Das hatte ich auch schon mal unter einem Server 2003, hab das aber nie weiter verfolgt weil's nicht so wichtig war. D.h. ich hab das bisher noch nie hingekriegt.

Link zu diesem Kommentar
Hallo,

sorry falls das Thema schon behandelt wurde aber ich suche vielleicht mit den falschen Begriffen.

 

Habe USER im AD eingerichtet die außer der Standard-Gruppe "Domänen-Benutzer" auch noch Mitglied der Administratorengruppe sind.

 

Super, dann sind sie auch noch MItglied der Administratoren auf dem DC. Ich würde dir empfehlen, sowas nicht zu konfigurieren, bzw. wenn dann mittels GPO und eingeschränkten Gruppen.

Eingeschränkte Gruppen

 

... und was mach ich falsch?

 

Du versuchst Usern zu Admins zu machen. ;)

 

Wenns nicht weiter wichtig ist, nimm sie wieder aus der Gruppe raus, denn damit können sie deinen DCs schaden.

 

Bye

Norbert

Link zu diesem Kommentar

Hi ihr,

thanx für die Antworten erst mal und sorry, weil ich (chaosbedingt) nicht ehr wieder antworten konnte.

 

1. Ja weiß ich, ein USER als Admin kann viel falsch machen, aber bevor der USER tatsächlich ran kommt, hab ich dem Account die Rechte schon wieder entzogen. ;-)

 

Will unter den User-Account auf dem Rechner manches einrichten/installieren und wenn ich das als Admin mache, hab ich in dem Moment keinen Zugriff auf dessen persönlichen Resourcen die in der GPO bzw. dem Logonscript konfiguriert sind.

 

2. Egal, auch wenn es vielleicht verschiedene andere Lösungsszenarien gibt, mir geht es im dem Thread eigentlich darum, dass ich nicht checke warum ich einem x-beliebigen USER zwar in die Admingruppe aufnehmen kann, aber der dennoch keine Adminrechte hat.

Nachdem ich das schon öfter erlebt hatte auch z.B. für die Rolle eines Users als RIS-Admin, damit nicht immer ich alles installieren muss, fände ich es echt toll jdm. könnt mir erklären was da anders läuft als ich dachte.

 

du meinst die Gruppe "Domänen-Admins"? Ist diese Gruppe bei deinen Clients noch in der lokalen "Administratoren" Gruppe enthalten?

Hi Sebastian, sorry, blicke nicht ganz was du da meinst!

... ob die Dömänen-Admins in der Gruppe der lokalen Admins sind???

 

Gruß

Helmut

Link zu diesem Kommentar
Hi ihr,

thanx für die Antworten erst mal und sorry, weil ich (chaosbedingt) nicht ehr wieder antworten konnte.

 

1. Ja weiß ich, ein USER als Admin kann viel falsch machen, aber bevor der USER tatsächlich ran kommt, hab ich dem Account die Rechte schon wieder entzogen. ;-)

 

Na klar, das glauben alle.

 

... ob die Dömänen-Admins in der Gruppe der lokalen Admins sind???

 

In welche Gruppe (genau) hast du den User aufgenommen, und warum?

Eventuell kommst du ja dann darauf.

 

Bye

Norbert

Link zu diesem Kommentar
Na klar, das glauben alle.

Ätsch, und ich hab recht!

Denn der Rechner ist neu und noch nicht beim USER und der USER ist auch erst neu eingerichtet! ;-)

 

 

In welche Gruppe (genau) hast du den User aufgenommen, und warum?

Eventuell kommst du ja dann darauf.

 

 

Hmpf, grübel!

Hab grad nachgeguggt: Eintrag im AD in der Gruppe "Administratoren", aber unter USERS im AD gibt es die eigentlich gar nicht als Gruppe. !?

 

Sollte ich vielleicht mal "Domänen-Admins" nehmen?

... ja, ja, klar, einfach nur mal zum Testen, nicht live!

 

Gruß

Helmut

Link zu diesem Kommentar
Hmpf, grübel!

Hab grad nachgeguggt: Eintrag im AD in der Gruppe "Administratoren", aber unter USERS im AD gibt es die eigentlich gar nicht als Gruppe. !?

 

Gibts nicht? Dann wäre dein AD das erste, welches diese Gruppe nicht hat. Aber um es nochmal deutlicher zu sagen: Wieso glaubst du, sollte die AD-Gruppe "Administratoren" die lokalen Admins auf den Workstation betreffen?

 

Sollte ich vielleicht mal "Domänen-Admins" nehmen?

 

Nein, solltest du nicht, sondern es einfach so machen, wie ich am Anfang schon schrob.

 

 

... ja, ja, klar, einfach nur mal zum Testen, nicht live!

 

Jaja...

 

Bye

Norbert

Link zu diesem Kommentar

Die ganzen Warnungen hast du ja jetzt schon gehört, bevor jetzt beim Versuchen noch etwas schief geht ein kurzer Überblick über die Gruppen.

 

Die Gruppe „Administratoren“ im AD befindet sich nicht unter Users, sondern unter Biultin. Die Gruppe „Domänen-Admins“ befindet sich unter Users und ist Mitglied der Gruppe „Administratoren“. Wenn du einen Client in die Dömäne aufnimmst wird die Gruppe „Domain-Admins“ der lokalen Gruppe „Administratoren“ hinzugefügt.

 

Durch die Gesetzte der Vererbung kann also der user den du in die „Administroren“ Gruppe des AD’s gesteckt hast keine Administratoren Rechte auf dem Client haben.

 

Ich hoffe ich habe jetzt hier keinen Fehler auf die schnelle Eingebaut.

 

Aber jetzt möchte ich Anmerken das was du tust doch sehr bedenklich ist.

 

Gruß

Sebastian

Link zu diesem Kommentar
... ein kurzer Überblick über die Gruppen.

 

Ganz vielen Dank,

das war der Haken an der Sache.

 

 

Seid doch nicht immer so pingelig, " a junga Bursch mou an Schneid hoam!" und auch mal was ausprobieren.

 

Danke auch für die vielen Warnungen, bin mir der Gefährlichkeit bewusst, aber wenn ich hier Fragen zum AD habe hilft mir nix wenn wenn ständig drauf herum geritten wird das man was anders konfigurieren soll.

 

Sorry Norbert falls du das in den falschen Hals bekommen hast,

bin trotzdem dankbar für die Hilfe!

 

Gruß Helmut

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...