moos 10 Geschrieben 4. November 2011 Melden Teilen Geschrieben 4. November 2011 Hallo, sorry falls das Thema schon behandelt wurde aber ich suche vielleicht mit den falschen Begriffen. Habe USER im AD eingerichtet die außer der Standard-Gruppe "Domänen-Benutzer" auch noch Mitglied der Administratorengruppe sind. Dennoch haben diese USER keine Adminrechte auf den Clients. Server 2008 Standard Clients XP und Windows 7 ... und was mach ich falsch? Welche Infos benötigt Ihr noch ? Das hatte ich auch schon mal unter einem Server 2003, hab das aber nie weiter verfolgt weil's nicht so wichtig war. D.h. ich hab das bisher noch nie hingekriegt. Zitieren Link zu diesem Kommentar
Drew 10 Geschrieben 4. November 2011 Melden Teilen Geschrieben 4. November 2011 Hallo, du meinst die Gruppe "Domänen-Admins"? Ist diese Gruppe bei deinen Clients noch in der lokalen "Administratoren" Gruppe enthalten? Gruß Sebastian Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 4. November 2011 Melden Teilen Geschrieben 4. November 2011 Hallo,sorry falls das Thema schon behandelt wurde aber ich suche vielleicht mit den falschen Begriffen. Habe USER im AD eingerichtet die außer der Standard-Gruppe "Domänen-Benutzer" auch noch Mitglied der Administratorengruppe sind. Super, dann sind sie auch noch MItglied der Administratoren auf dem DC. Ich würde dir empfehlen, sowas nicht zu konfigurieren, bzw. wenn dann mittels GPO und eingeschränkten Gruppen. Eingeschränkte Gruppen ... und was mach ich falsch? Du versuchst Usern zu Admins zu machen. ;) Wenns nicht weiter wichtig ist, nimm sie wieder aus der Gruppe raus, denn damit können sie deinen DCs schaden. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 4. November 2011 Melden Teilen Geschrieben 4. November 2011 Hallo, du meinst die Gruppe "Domänen-Admins"? Ist diese Gruppe bei deinen Clients noch in der lokalen "Administratoren" Gruppe enthalten? Gruß Sebastian So oder so wäre das keine Lösung die empfehlenswert ist. Bye Norbert Zitieren Link zu diesem Kommentar
Drew 10 Geschrieben 4. November 2011 Melden Teilen Geschrieben 4. November 2011 Ich sagte ja auch nicht das ich die Lösung empfehlen würde. Aber ich hätte bei meinem Post natürlich alternativen aufzeigen können und erwähnen können das es keine gute Lösung ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 4. November 2011 Melden Teilen Geschrieben 4. November 2011 Ich sagte ja auch nicht das ich die Lösung empfehlen würde. Aber ich hätte bei meinem Post natürlich alternativen aufzeigen können und erwähnen können das es keine gute Lösung ist. Ja, hättest du. ;) Bye Norbert Zitieren Link zu diesem Kommentar
moos 10 Geschrieben 8. November 2011 Autor Melden Teilen Geschrieben 8. November 2011 Hi ihr, thanx für die Antworten erst mal und sorry, weil ich (chaosbedingt) nicht ehr wieder antworten konnte. 1. Ja weiß ich, ein USER als Admin kann viel falsch machen, aber bevor der USER tatsächlich ran kommt, hab ich dem Account die Rechte schon wieder entzogen. ;-) Will unter den User-Account auf dem Rechner manches einrichten/installieren und wenn ich das als Admin mache, hab ich in dem Moment keinen Zugriff auf dessen persönlichen Resourcen die in der GPO bzw. dem Logonscript konfiguriert sind. 2. Egal, auch wenn es vielleicht verschiedene andere Lösungsszenarien gibt, mir geht es im dem Thread eigentlich darum, dass ich nicht checke warum ich einem x-beliebigen USER zwar in die Admingruppe aufnehmen kann, aber der dennoch keine Adminrechte hat. Nachdem ich das schon öfter erlebt hatte auch z.B. für die Rolle eines Users als RIS-Admin, damit nicht immer ich alles installieren muss, fände ich es echt toll jdm. könnt mir erklären was da anders läuft als ich dachte. du meinst die Gruppe "Domänen-Admins"? Ist diese Gruppe bei deinen Clients noch in der lokalen "Administratoren" Gruppe enthalten? Hi Sebastian, sorry, blicke nicht ganz was du da meinst! ... ob die Dömänen-Admins in der Gruppe der lokalen Admins sind??? Gruß Helmut Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. November 2011 Melden Teilen Geschrieben 8. November 2011 Hi ihr,thanx für die Antworten erst mal und sorry, weil ich (chaosbedingt) nicht ehr wieder antworten konnte. 1. Ja weiß ich, ein USER als Admin kann viel falsch machen, aber bevor der USER tatsächlich ran kommt, hab ich dem Account die Rechte schon wieder entzogen. ;-) Na klar, das glauben alle. ... ob die Dömänen-Admins in der Gruppe der lokalen Admins sind??? In welche Gruppe (genau) hast du den User aufgenommen, und warum? Eventuell kommst du ja dann darauf. Bye Norbert Zitieren Link zu diesem Kommentar
moos 10 Geschrieben 8. November 2011 Autor Melden Teilen Geschrieben 8. November 2011 Na klar, das glauben alle. Ätsch, und ich hab recht! Denn der Rechner ist neu und noch nicht beim USER und der USER ist auch erst neu eingerichtet! ;-) In welche Gruppe (genau) hast du den User aufgenommen, und warum?Eventuell kommst du ja dann darauf. Hmpf, grübel! Hab grad nachgeguggt: Eintrag im AD in der Gruppe "Administratoren", aber unter USERS im AD gibt es die eigentlich gar nicht als Gruppe. !? Sollte ich vielleicht mal "Domänen-Admins" nehmen? ... ja, ja, klar, einfach nur mal zum Testen, nicht live! Gruß Helmut Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 8. November 2011 Melden Teilen Geschrieben 8. November 2011 Du solltest nicht vielleicht irgendwas machen sondern wissen was du tust. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. November 2011 Melden Teilen Geschrieben 8. November 2011 Hmpf, grübel!Hab grad nachgeguggt: Eintrag im AD in der Gruppe "Administratoren", aber unter USERS im AD gibt es die eigentlich gar nicht als Gruppe. !? Gibts nicht? Dann wäre dein AD das erste, welches diese Gruppe nicht hat. Aber um es nochmal deutlicher zu sagen: Wieso glaubst du, sollte die AD-Gruppe "Administratoren" die lokalen Admins auf den Workstation betreffen? Sollte ich vielleicht mal "Domänen-Admins" nehmen? Nein, solltest du nicht, sondern es einfach so machen, wie ich am Anfang schon schrob. ... ja, ja, klar, einfach nur mal zum Testen, nicht live! Jaja... Bye Norbert Zitieren Link zu diesem Kommentar
Drew 10 Geschrieben 8. November 2011 Melden Teilen Geschrieben 8. November 2011 Die ganzen Warnungen hast du ja jetzt schon gehört, bevor jetzt beim Versuchen noch etwas schief geht ein kurzer Überblick über die Gruppen. Die Gruppe „Administratoren“ im AD befindet sich nicht unter Users, sondern unter Biultin. Die Gruppe „Domänen-Admins“ befindet sich unter Users und ist Mitglied der Gruppe „Administratoren“. Wenn du einen Client in die Dömäne aufnimmst wird die Gruppe „Domain-Admins“ der lokalen Gruppe „Administratoren“ hinzugefügt. Durch die Gesetzte der Vererbung kann also der user den du in die „Administroren“ Gruppe des AD’s gesteckt hast keine Administratoren Rechte auf dem Client haben. Ich hoffe ich habe jetzt hier keinen Fehler auf die schnelle Eingebaut. Aber jetzt möchte ich Anmerken das was du tust doch sehr bedenklich ist. Gruß Sebastian Zitieren Link zu diesem Kommentar
moos 10 Geschrieben 8. November 2011 Autor Melden Teilen Geschrieben 8. November 2011 Du solltest nicht vielleicht irgendwas machen sondern wissen was du tust. ;) extremer Nährwert diese Antwort ! Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. November 2011 Melden Teilen Geschrieben 8. November 2011 Off-Topic:Naja zumindest für alle anderen die hier mitlesen. ;) :p ByeNorbert Zitieren Link zu diesem Kommentar
moos 10 Geschrieben 8. November 2011 Autor Melden Teilen Geschrieben 8. November 2011 ... ein kurzer Überblick über die Gruppen. Ganz vielen Dank, das war der Haken an der Sache. Seid doch nicht immer so pingelig, " a junga Bursch mou an Schneid hoam!" und auch mal was ausprobieren. Danke auch für die vielen Warnungen, bin mir der Gefährlichkeit bewusst, aber wenn ich hier Fragen zum AD habe hilft mir nix wenn wenn ständig drauf herum geritten wird das man was anders konfigurieren soll. Sorry Norbert falls du das in den falschen Hals bekommen hast, bin trotzdem dankbar für die Hilfe! Gruß Helmut Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.