lunatikz 10 Geschrieben 28. Juni 2012 Melden Teilen Geschrieben 28. Juni 2012 Hi, Es geht um folgendes Problem, und ich bin noch relativ neu was Windows Server Administration betrifft. Es geht darum, dass eine bestimmte Gruppe von Nutzern (vertrauenswürdig) lokal auf ihren Arbeitsstationen Programme installieren dürfen, ohne ein AdminPW oder ähnliches einzugeben. Ich hab nu unterschiedliche Beiträge in anderen Foren gelesen, wo es aber teils immer unterschiedliche Antworten gab, teils auch veraltet. Die User sollen also lokal Sachen installieren dürfen, aber keineswegs auf dem Server Änderungen vornehmen dürfen. Somit fällt das Zuweisen von Administratorrechten flach. Gibt es eine entsprechende Mögl. bei Windows 2008 ? Btw: Die ganzen Begriffe (GPO etc.) usw. sagen mir nicht allzuviel. Ich wäre für eine ausführliche Erklärung dankbar. Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 28. Juni 2012 Melden Teilen Geschrieben 28. Juni 2012 Hallo, Du weist das jeweilige Active Directory Konto der lokalen Administratorgruppe auf den Clients zu. Somit haben die Benutzer auf den Clients mehr Rechte, aber auf dem Server ändert sich nichts. Off-Topic:Wobei die Kombination "lokale Adminrechte" und "User" nicht immer das Gelbe vom Ei ist... Grüße, Robert Zitieren Link zu diesem Kommentar
lunatikz 10 Geschrieben 28. Juni 2012 Autor Melden Teilen Geschrieben 28. Juni 2012 Ok, wie kann ich denn die User der von dir genannten Gruppe hinzufügen ? Im AD gibt es keine entsprechende Gruppe lokaler Administratorgruppe. Oder wie meinst du das ? Zitieren Link zu diesem Kommentar
NorbertFe 2.068 Geschrieben 28. Juni 2012 Melden Teilen Geschrieben 28. Juni 2012 Die wurde nicht umsonst als lokale administratorgrppe bezeichnet. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 29. Juni 2012 Melden Teilen Geschrieben 29. Juni 2012 Du erstellst eine neue Gruppe in der AD. Z.B. "Hilfadmins". Diese Gruppe fügst Du die entsprechenden Mitglieder hinzu. Auf den entsprechenden Arbeitsstationen fügst Du in der Gruppe Administratoren die neu erstelle Gruppe in der AD "Hilfadmins" ein. Somit hat nur ein auserwählter Kreis auf diesen Rechnern Adminrechte. Vorteil dabei: Soll man einer gelöscht werden, muss man dazu nicht die Arbeitsstationen. Und diese Admis haben auf der Domäne/Server keine Adminrechte. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Juni 2012 Melden Teilen Geschrieben 29. Juni 2012 (bearbeitet) http://www.mcseboard.de/windows-forum-allgemein-83/domaenengruppe-lokalen-haupbenutzergruppen-hinzufuegen-116414.html Eine weitere Möglichkeit, Gruppenrichtlinie, Eingeschränkte Gruppen. Am Board gibt es einen Beitrag vin Grizzly999, dieser beschreibt, wie Damänenbenutzer der Gruppe der Hauptbenutzer hinzugefügt werden. http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene-Restricted-Groups.165.0.html bearbeitet 29. Juni 2012 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.068 Geschrieben 29. Juni 2012 Melden Teilen Geschrieben 29. Juni 2012 Alternativ auch hier. ;) Eingeschränkte Gruppen Bye Norbert Zitieren Link zu diesem Kommentar
lunatikz 10 Geschrieben 30. Juni 2012 Autor Melden Teilen Geschrieben 30. Juni 2012 Herzlichen Dank für die zahlreichen Antworten, Ich werd die Dinge mal ausprobieren, die ihr vorgeschlagen habt. Vielen Dank :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Juni 2012 Melden Teilen Geschrieben 30. Juni 2012 Gern geschehen, viel Erfolg. :) Zitieren Link zu diesem Kommentar
lunatikz 10 Geschrieben 5. Juli 2012 Autor Melden Teilen Geschrieben 5. Juli 2012 Hi, also ich hab das ganze mal mit den eingeschränkten Gruppen versucht, doch leider ohne Erfolg. Ich hab mich dabei an die folgende Anleitung gehalten: Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de Bei mir schaut es so aus, dass ich ein Gruppenrichtlinienobjekt erzeugt habe, und diese mit der Domäne verknüpft habe (falls man das so nennt?). Der eingeschränkten Gruppe habe ich eine Gruppe Administratoren hinzugefügt. Die Gruppe Administratoren hat als Mitglieder, die domänen admins, admin und eine weitere gruppe, die die eigentliche Zielgruppe darstellt, die ich mit lokalen Rechten ausstatten will. Aber das ganze funktioniert leider nicht, ich vermute dass ich irgendwo was falsch gemacht habe, weiss aber leider nicht wo.. Ich bin für jedewede weitere Hilfe dankbar. mfg, luna Zitieren Link zu diesem Kommentar
NorbertFe 2.068 Geschrieben 5. Juli 2012 Melden Teilen Geschrieben 5. Juli 2012 Hi, also ich hab das ganze mal mit den eingeschränkten Gruppen versucht, doch leider ohne Erfolg. Aha. Fehlermeldungen? Bei mir schaut es so aus, dass ich ein Gruppenrichtlinienobjekt erzeugt habe, und diese mit der Domäne verknüpft habe (falls man das so nennt?). Na wenn du nicht weißt, was du gemacht hast, woher sollen wir es wissen? ;) Grundsätzlich ist es keine gute Idee GPOs auf Domänenebene zu verlinken (Ausnahmen bestätigen die Regel). Der eingeschränkten Gruppe habe ich eine Gruppe Administratoren hinzugefügt. Die Gruppe Administratoren hat als Mitglieder, die domänen admins, admin und eine weitere gruppe, die die eigentliche Zielgruppe darstellt, die ich mit lokalen Rechten ausstatten will. Also mit der Beschreibung wüßte ich jetzt nicht, was du getan hast. Und ich weiß eigentlich, wie sowas funktioniert. ;) Aber das ganze funktioniert leider nicht, ich vermute dass ich irgendwo was falsch gemacht habe, weiss aber leider nicht wo..Ich bin für jedewede weitere Hilfe dankbar. Mit deiner Beschreibung weiß ich auch nicht, was du falsch gemacht hast. ;) Vielleicht versuchst du ja die andere Beschreibung (Link auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials) nochmal. :) Bye Norbert Zitieren Link zu diesem Kommentar
lunatikz 10 Geschrieben 5. Juli 2012 Autor Melden Teilen Geschrieben 5. Juli 2012 Aha. Fehlermeldungen? --> gar keine :) Wenn ich mich mit einem Account aus der Zielgruppe auf dem Rechner einlogge, kann ich nichts installieren ohne das Admin PW angeben zu müssen. Grundsätzlich ist es keine gute Idee GPOs auf Domänenebene zu verlinken (Ausnahmen bestätigen die Regel). Auf was kann ich es denn sonst verlinken ? Das Netzwerk hier besitzt nur eine Domäne, eine weitere Aufteilung in OU ist mE nicht durchgeführt worden. Also mit der Beschreibung wüßte ich jetzt nicht, was du getan hast. Und ich weiß eigentlich, wie sowas funktioniert. Also eigentlich hab ich es genauso so gemacht, wie die von mir genannte Anleitung es beschrieben hat, wüsst jetzt auch nicht wie ich es anders erklären sollte. Vielleicht versuchst du ja die andere Beschreibung (Link auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials) nochmal. ich schätze mal du meintest damit diese Seite: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Ist das nicht die gleiche Vorgehensweise ? Ich muss dazu sagen, dass ich von dieser Anleitung auch nur das erste Bsp. umgesetzt habe. Die folgenden Beispiele wären ja für meinen Fall nicht relevant ? Bitte entschuldigt meine mangelnde Fachkenntnis, aber ich bin wirklich nen newbie ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.068 Geschrieben 5. Juli 2012 Melden Teilen Geschrieben 5. Juli 2012 --> gar keine :) Wenn ich mich mit einem Account aus der Zielgruppe auf dem Rechner einlogge, kann ich nichts installieren ohne das Admin PW angeben zu müssen. Aha. Also was sagt RSOP am Client? Auf was kann ich es denn sonst verlinken ? Das Netzwerk hier besitzt nur eine Domäne, eine weitere Aufteilung in OU ist mE nicht durchgeführt worden. Na wie wärs, wenn du die Aufteilung mal machen würdest? Ansonsten siehe meinen Kommentar. Das ist eine schlechte Idee. :) Also eigentlich hab ich es genauso so gemacht, wie die von mir genannte Anleitung es beschrieben hat, wüsst jetzt auch nicht wie ich es anders erklären sollte. Tja, dann versuch die andere Anleitung. Werden andere GPOs denn übernommen? Ist das nicht die gleiche Vorgehensweise ? Ja, und das funktioniert. Ich muss dazu sagen, dass ich von dieser Anleitung auch nur das erste Bsp. umgesetzt habe. Die folgenden Beispiele wären ja für meinen Fall nicht relevant ? Dazu müßte man wissen, was dein Fall wäre. Das sind 3 unabhängige Beispiele, aus denen man sich das passende raussuchen muß. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 5. Juli 2012 Melden Teilen Geschrieben 5. Juli 2012 Auf was kann ich es denn sonst verlinken ? Das Netzwerk hier besitzt nur eine Domäne, eine weitere Aufteilung in OU ist mE nicht durchgeführt worden. Wie Norbert schon schrieb, fang an: Erste Schritte zum Erstellen einer Gruppenrichtlinie ich schätze mal du meintest damit diese Seite: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Ist das nicht die gleiche Vorgehensweise ? Ich muss dazu sagen, dass ich von dieser Anleitung auch nur das erste Bsp. umgesetzt habe. Die folgenden Beispiele wären ja für meinen Fall nicht relevant ? Erstell dir in einer Testumgebung alles genau wie in dem HowTo angegeben, es wird funktionieren. Zitieren Link zu diesem Kommentar
lunatikz 10 Geschrieben 5. Juli 2012 Autor Melden Teilen Geschrieben 5. Juli 2012 (bearbeitet) Aha. Also was sagt RSOP am Client? siehe Screenshot: Na wie wärs, wenn du die Aufteilung mal machen würdest? Ansonsten siehe meinen Kommentar. Das ist eine schlechte Idee. Hab ich mir schon fast gedacht, aber ich kenn mich noch nicht so genau mit der organisationsstruktur aus, und ich denke man möchte es auch nicht, dass ich da grob an der struktur rumfuchtele.. aber ich werd mal bei Gelgenheit bei der Chefetage anfragen. Dazu müßte man wissen, was dein Fall wäre. Das sind 3 unabhängige Beispiele, aus denen man sich das passende raussuchen muß. Also zum meinen Fall, wir haben hier ein Windows Netzwerk mit Server 2008rs2 und vielen Clientrechnern (OS = WinXP, Win 7). Es gibt in dieser Organistation eine bestimmte Gruppe von MA, denen man lokale Adminrechte einräumen möchte. Diese Gruppe gilt intern als vertrauenswürdig, also es ist davon auszugehen, dass diese kein Mist auf den Clientrechnern machen. Allerdings sollen sie eben keinerlei Adminrechte auf dem Server haben. bearbeitet 5. Juli 2012 von lunatikz Bild Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.