Kyro 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Tja, wo soll ich anfangen - "mein" Server steht jetzt seit gut 4 Monaten und verrichtet brav seine Arbeit - jedoch ist heute wiedermal eine weitere Gruppen hinzugekommen die im Prinzip nebenstehend zu Domain Admins läuft (nennen wir sie mal Install Admins) Nun möchte ich per Policy (falls Möglich) den Clients sagen, dass es einen neuen Member der lokalen Gruppe: Administratoren gibt. (den key selbst gäbe es ja in der registry [hklm\sam\sam\...]) Wäre dankbar für Vorschläge, oder Alternativen, die meinem Prob nahe kommen würden! Das ganze soll natürlich funktionieren, dass der User "Install Admins" nicht Member von Domain Admin ist! Zitieren Link zu diesem Kommentar
himbidas 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Ich kann dein Problem nicht so ganz nachvollziehen? Wieso willst du einen "Domänen-Install-Admin" als lokalen User auf dem/den Client/s bekanntmachen bzw. einrichten? Wären doch eh zwei verschiedene Konten (ein Domänekonto, mehrfache Lokalkonten pro Client). Geht's da jetzt nur drum, dass auf den Clients nachträglich was mit "Install-Admin"-Rechten installiert wird? Dafür reicht doch die Install-Admin-Domänenanmeldung. Thomas Zitieren Link zu diesem Kommentar
Kyro 10 Geschrieben 27. November 2003 Autor Melden Teilen Geschrieben 27. November 2003 der install-admin soll keine domänen-admin rechte haben! sondern ist nur eine gruppe die den usern auf den clients ermöglicht da was drauf zu installieren. also, sorry, für meine dumme ausdrückung, dass der "neben" domain admin läuft! Zitieren Link zu diesem Kommentar
himbidas 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Ich weiss ja nicht, wieviel Clients du so unter dir hast und in welcher Branche du administrierst. Aber... Für die meissten Installationen benötigt man Adminrechte, ob lokal oder Domäne ist erstmal egal. Jetzt könntest du ja den auf jeden Client vorhandenen lokalen Administrator soweit deinen Usern "bekanntmachen", dass sie mit diesem installieren können. 2. Aber...., denkst du dass das eine gute Idee ist, den User Installrechte einzuräumen? Wäre es da nicht lohnender darüber nachzudenken, ob du als Ober-Super-Domäne-Admin-Guru nicht vielleicht bei Bedarf Installationen (remote) vornimmst? Also, ich bin da sehr skeptisch, (unbedarften) Usern Installrechte zu verleihen. Thomas Zitieren Link zu diesem Kommentar
Kyro 10 Geschrieben 28. November 2003 Autor Melden Teilen Geschrieben 28. November 2003 Unbedarfte User ;).... nene, die Gruppe ist im prinzip nur für 3 leute.... die rechte haben sollen auf den clients was zu installieren.... das netzwerk besitzt bloss einen Server (worüber ziemlich viele services laufen, also DC, DNS, i-net, fileserver, printserver, access, asp, usw usw) nur sollen diese 3 leute keine admin rechte am server besitzen, eben bloss lokale admin rechte auf den clients.... insgesamt im netzwerk sind auch nur 18 clients dran.... (und pro clients 1 - 2 user [wegen Wechseldienst]). Remote die Software per msi zu verteilen - tja, es gibt leider nicht zu jeder software msi files :( und selbst wenn - das ist gar nicht so erwünscht Vielleicht eine Idee, das ganze per policy oder logon script (gibts schon eines - also müsste nur erweitert werden) einzubringen? Zitieren Link zu diesem Kommentar
BigTom 10 Geschrieben 28. November 2003 Melden Teilen Geschrieben 28. November 2003 Hallo, Leg im AD eine Gruppe z.B "lokalAdmins" an. Laufe zu deinen 19 Maschienen und füge diese Gruppe der lokalen Gruppe der Administratoren hinzu. mfg BigTOM Zitieren Link zu diesem Kommentar
Kyro 10 Geschrieben 28. November 2003 Autor Melden Teilen Geschrieben 28. November 2003 und genau das will ich verhindern, dass ich jetzt zu den maschinen selbst hingehe, und die gruppe lokal als admin hinzufüge!!! Geht das nicht dass man das den clients per policy sagt? Zitieren Link zu diesem Kommentar
Hotte 10 Geschrieben 28. November 2003 Melden Teilen Geschrieben 28. November 2003 Hallo, das geht mit eingeschränkten Gruppen über GPO. Da bin ich im moment auch dran: http://www.mcseboard.de/showthread.php?s=&threadid=10558&highlight=eingeschr%E4nkte+gruppen Leider funktioniert das bei mir nicht im Moment noch nicht 100%ig. Habe deswegen auch einen Thread hier aufgemacht: http://www.mcseboard.de/showthread.php?s=&threadid=19002 Gruß Hotte Zitieren Link zu diesem Kommentar
BigTom 10 Geschrieben 29. November 2003 Melden Teilen Geschrieben 29. November 2003 Hallo, da wir jetzt "des Pudels Kern" haben -- siehe Betreff :-) Information ist das a und O in der Informatik Sind die eingeschränkten Gruppen natürlich die Lösung. Das Verfahren funktioniert natürlich nur, wenn auch Computerobjekte in der OU, auf die die Richtlinie angewand wird, sind. Scripting ist auch ne nette Lösung, mann muss halt nur beachten "wer" das Script dann ausführt und auch die entsprechenden Rechte besitzt. (Userobjekt). greetings BigTom Zitieren Link zu diesem Kommentar
Casper 10 Geschrieben 1. Dezember 2003 Melden Teilen Geschrieben 1. Dezember 2003 hmm also policy weiss ich nicht, du kannst aber unter active directory benutzer- und computer dir die einzelnen clients unter computer anzeigen lassen und dort die lokale user datenbank editieren. ist zwar nicht ganz so bequem wie ne policy, aber zumindest kannst du sitzen bleiben und musst nicht aufstehen um zu jedem client zu laufen :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.