Sunny61 806 Geschrieben 5. Juli 2014 Melden Teilen Geschrieben 5. Juli 2014 Wenn ich diesen admin-user als Mitglied der lokalen Administratoren Gruppe und Domänen-Benutzer eintrage, funktionieren am Client nach dem erneuten Login trotzdem nicht die Admin-Rechte. zB. Server-Manager lässt sich nicht öffnen und sagt es fehlen die Administrator-Rechte. Ich kann natürlich als Admin ausführen und den Domänen-Administrator eintragen, aber macht das Sinn? Ist das was du meintest? Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer. Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 8. Juli 2014 Autor Melden Teilen Geschrieben 8. Juli 2014 Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer. Sorry für die späte Antwort, war auf unseren Firmenschulungen in Deutschland. Bin jetzt etwa schlauer wenn's um die Netzwerkkonfiguration und Troubleshooting geht ;-) Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :) Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut. In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist. Macht Sinn? Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage: Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Möglicherweise hilft dir weiter: http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 9. Juli 2014 Melden Teilen Geschrieben 9. Juli 2014 Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :) Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut. Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;) In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist. Macht Sinn? Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage: Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist? An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain. Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 9. Juli 2014 Autor Melden Teilen Geschrieben 9. Juli 2014 (bearbeitet) Möglicherweise hilft dir weiter: http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Danke, schaut wie ein toller Artikel für den Anfang. Werde ich lesen. Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;) Ja schon. Deswegen habe ich OUs ;-) Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ Ich brauche auch die Gruppen für die Nutzer, da ich so leichter die TS Zugriffe erlauben kann, ohne auf den TS gehen zu müssen. Link schaue ich mir an, sicherlich informativ! An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain. OOTB ist mir klar. Aber man kann einen Nutzer erstellen und ihm die Domänen-Admin Gruppe zuteilen. Und dann hat er absolut die gleichen Berechtigungen und Möglichkeiten wie der "Administrator". Deswegen für mich die Frage warum die Mühe überhaupt. bearbeitet 9. Juli 2014 von kosta88 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 9. Juli 2014 Melden Teilen Geschrieben 9. Juli 2014 Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;) Ja schon. Deswegen habe ich OUs ;-) Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. Juli 2014 Melden Teilen Geschrieben 9. Juli 2014 Ja schon. Deswegen habe ich OUs ;-) OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;) Bye Norbert Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 10. Juli 2014 Autor Melden Teilen Geschrieben 10. Juli 2014 (bearbeitet) Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten. Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon. In der Gruppenrichtlinienverwaltung kann ich ja die Gruppenrichtlinienobjekte auf die OUs verlinken. Wenn ich dich jetzt richtig verstehe, will du mir sagen, dass hätte ich NUR die Gruppe in der OU, und die Benutzer woanders, würde sich die OU nicht auf diese Benutzer auswirken - OK, das hätte ich nicht gewusst, daher danke. Ich werde das durchgehen sobald ich ein wenig Luft bekomme. OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;) Bye Norbert Wie schon gesagt, sind beide (Gruppe und Benutzer) drinnen, deswegen wirkt es ja. Habe ich schon geprüft. bearbeitet 10. Juli 2014 von kosta88 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 10. Juli 2014 Melden Teilen Geschrieben 10. Juli 2014 Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon. OK, und genau dieser Teil hat in den bisherigen Postings gefehlt, dann ist ja alles klar. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.