Benutzer mit erweiterten Rechten im ADS anlegen

[Boltergeist 10]

Hallo, eine Frage,

 

ich bräuchte einen User, der z.B. in der Lage ist, Software zu installieren, ähnlich dem Hauptbenutzer, den es aber im ADS nicht gibt. Des weiteren sollte dieser User möglichst am eigenen Rechner in der Systemsteuerung schrauben dürfen, aber administrative Rechte im Active Directory selber sind tabu.

Ist also nen Zwischending zwischen einem Admin und einem Standarduser.

Kann man sowas machen? Ich hab schon viel gesucht, aber nichts zufriedenstellendes hinbekommen über Gruppenrichtlinien bzw Gruppenzugehörigkeiten. Entweder durfte der User alles oder nix.

[master-obi-wan 10]

Original geschrieben von Boltergeist

... sollte dieser User möglichst am eigenen Rechner in der Systemsteuerung schrauben dürfen, aber administrative Rechte im Active Directory selber sind tabu ...

Hallo Boltergeist,

 

wenn er lokal Software installieren und in der Systemsteuerung arbeiten soll, was genau willst du ihm dann verbieten ?

 

Wenn du dem User lokale Adminrechte gibst, hat er deswegen noch keine Rechte im Active Directory. ;)

[grizzly999 11]

"Zwischending" zwischen Admin und Benutzer = Hauptbenutzer. Warum schließt du den aus? Hauptbenutzer kann man nur auf einer Workstation/Memberserver sein, nicht im Active Directory.

 

 

grizzly999

[Boltergeist 10]

Vielleicht bin ich ja zu doof oder ich drücke mich falsch aus.

Also ich habe diverse Workstations in einer Domäne. Diese Domäne verwaltet logischerweise ein Domänencontroller, also werden die Benutzerkonten auch in der Domäne angelegt.

Dass man lokal Benutzer anlegen kann, die Hauptbenutzer sind, weiß ich.

Aber als Mitglied einer Domäne kann man doch nicht Hauptbenutzer sein?!

[grizzly999 11]

Aber als Mitglied einer Domäne kann man doch nicht Hauptbenutzer sein?!

Aber klar kann man!

 

grizzly999

[Boltergeist 10]

komisch, also ich habe es an mehreren Domänencontrollern ausprobiert und bei keinem habe ich unter "Active Directory Benutzer und Gruppen" die Benutzergruppe "Hauptbenutzer" gefunden. Was hab ich denn da falsch gemacht?

[grizzly999 11]

Okay, lies noch mal meinen Beitrag, vier Beiträge weiter oben, aufmerksam durch :rolleyes:

 

grizzly999

[Boltergeist 10]

ja sicher, das hatte ich garnicht gesehen, dass du das auch schon geschrieben hattest.

Nur löst das mein Problem nicht, weil der User soll sich nicht jedesmal abmelden und lokal wieder neu anmelden müssen, wenn er mal eben was installieren muss.

Außerdem sollen di Useraccounts zentral im Active Directory verwaltet werden und nicht lokal an jeder Maschine, was ja beim Hauptbenutzer der Fall wäre. Ist jetzt nur die Frage, ob das überhaupt geht und wenn, wie das geht!

[grizzly999 11]

Okay, okay: Melde dich an der Workstation als Domänen-Admin an, die es betrifft. Alternativ dazu, mache auf dem DC oder sonst wo als Domänen-Admin die Computerverwaltung auf und verbinde dich mit dem Zielcomputer.

Gehe in die Gruppenverwaltung und füge der Gruppe der Hauptbenutzer den gewünschten Domänenbenutzer(!!) hinzu. Wenn sich der Benutzer so wie immer an diesem Rechner als Domänen-Benutzer(!!) anmeldet, ist er auf diesem Rechner Hauptbenutzer.

Er muss sich nicht immer ummelden, er ist der selbe wie immer, aber auf dem Computer hat er jetzt als Domänen-Benutzer erhöhte Rechte.

 

grizzly999

[Boltergeist 10]

ok danke erstmal für deine Hilfe. Ich werd dann am Montag mal ausprobieren, ob das so funktioniert, wie ich mir das vorstelle.

[Boltergeist 10]

//EDIT:

ha habs. Juhu!!!

Danke nochmal.

[dersupergrobi 10]

Original geschrieben von grizzly999

Okay, okay: Melde dich an der Workstation als Domänen-Admin an, die es betrifft. Alternativ dazu, mache auf dem DC oder sonst wo als Domänen-Admin die Computerverwaltung auf und verbinde dich mit dem Zielcomputer.

Gehe in die Gruppenverwaltung und füge der Gruppe der Hauptbenutzer den gewünschten Domänenbenutzer(!!) hinzu. Wenn sich der Benutzer so wie immer an diesem Rechner als Domänen-Benutzer(!!) anmeldet, ist er auf diesem Rechner Hauptbenutzer.

Er muss sich nicht immer ummelden, er ist der selbe wie immer, aber auf dem Computer hat er jetzt als Domänen-Benutzer erhöhte Rechte.

 

grizzly999

 

 

auch wenn der Beitrag schon länger her ist:

 

Danke ;) Such funktion im Boards ist Spitze. So hab ich wieder was dazugelernt

[grizzly999 11]

Ohja, Komplimente nehmen wir gerne entgegen, besonders in diesen Tagen :D

 

Kleiner Tipp noch als Anmerkung: Das ganze kann man als Domänen-Admin mit Hilfe von Gruppenrichtlinien auch noch automatisieren, wenn es zu viele Clients werden sollten, an denen man dies machen muss. Näheres dazu hier: http://mcseboard.de/showthread.php?s=&threadid=20711

 

grizzly999

[dersupergrobi 10]

zumindest haben sich meine Probleme somit auch in Luft aufgelöst. Schon dämlich, wenn man sich alles autodidaktisch anlernen Muss.

 

Und genau dafür müsste es doch ein Tool geben, welches

das Ganze übersichtlicher macht, wie in

http://www.mcseboard.de/showthread.php?s=&threadid=26538

von mir gesucht ;)

 

@grizzly: ich hoffe doch, Du machst das alles beruflich, oder?

 

Gruß

 

dersupergrobi

[grizzly999 11]

So ein Tool kenne ich nicht, allerdings gibt es Tools, die mehrere Dinge besser vereinen, als die original Tools, z.B. Hyena von http://www.systemtools.com/hyena/

Schau dir doch davon mal die Demoversion an.

 

P.S: Ja, ich mache das freiberuflich, intensiv seit Jahren, morgens, mittags, abends und nachts. Sonst wüsste ich das auch nicht alles ;)

 

 

grizzly999