Serverwolf 10 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 Hallo zusammen Mir ist bei diversen Installationen von Domänen unter W2k8(R2) aufgefallen das der vom Windowssetup erstellte Administrator mehr Rechte hat als ein Administrator den man nachträglich selber erstellt hat. Sowohl der neu angelegte Domänenadministrator (ich nenn den jetzt mal "Admin-Neu") als auch der vom System angelegte "Administrator" sind in den gleichen Gruppen Mitglied. (Administratoren, Domänen-admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer, Schema-Admins). Zwei Punkte bei denen man das überprüfen kann: 1. Man meldet sich mit dem "Admin-Neu" aneinem DC oder Memberserver an, öffnet eine Eingabeaufforderung und gibt "ipconfig /registerdns" ein. Als Ergebnis kommt dann: "Der angeforderte Vorgang erfordert erhöhte Rechte" Wenn man mit dem "Original"-Administrator angemeldet ist - geht es aber. 2. Man startet eine Eingabeaufforderung "Als Administrator ausführen". Bei dem "Admin-Neu" kommt dann die Benutzerkontensteuerung und fragt ob man das zulassen möchte. Mit dem "Original"-Administrator kommt die UAC nicht. Woher kommen diese unterschiedlichen Rechte? Und wie kann ich einem neu erstellten Domänenadmin die gleich hohen Rechte geben? Wie gesagt, dieses Verhalte ist mir bei diversen Domänen aufgefallen, die untereinander nichts miteinander zu tun haben. Mach ich da jeweils einen Fehler oder ist das "by design"? Schon mal Danke für alle Hinweise Serverwolf Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 was passiert wenn du den domänenintegrierten (durchwindows setup erstellten) Administrator umbenennst? Passiert dann das gleiche wie bei einem "nächträglich angelegten" Admin oder das gleiche wie vor dem Umbenennen? lg Stefan Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 Nachträglich erstellte Administratoren haben nicht weniger Rechte, für sie gilt nur per Default die Benutzerkontensteuerung bzw. der Administratorbestätigungsmodus ... Das ist eine Richtlinie, die so voreingestellt ist ... Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 Die besagte Richtlinie heißt User Account Control: Use Admin Approval Mode for the built-in Administrator account Wenn du diese auf Enabled setzt (Std: Disabled) muss auch der built-in Administrator UAC nutzen um ein elevated Token zu erhalten. Zitieren Link zu diesem Kommentar
Serverwolf 10 Geschrieben 29. März 2012 Autor Melden Teilen Geschrieben 29. März 2012 Danke Euch! Das mit den Richtlinien für den build-in Administrator war mir bisher nicht bekannt. Jetzt kann ich das unterschiedliche Verhalten nachvollziehen. bzw. mit den Richtlinien steuern. Gruß Serverwolf Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.