Neokles 10 Geschrieben 20. Mai 2015 Melden Teilen Geschrieben 20. Mai 2015 (bearbeitet) Schönen Guten Tag zusammen, ich habe folgendes Problem. Ich möchte pro Mitgliedserver (Windows Server 2012 R2) in meiner Domäne (Domänenebene 2008 R2) einen Domänen-Account einrichten, welche nur lokale Adminrechte pro Server besitzt und in der Domäne gar keine Rechte hat. Diesen Account kann ich in die Gruppe lokale Adminstratoren am entsprechenden Server aufnehmen. Nur hier habe ich nicht die vollen Adminrechte als wenn ich mich z. B. als Domänenadmin anmelden würde. Ich kann z. B. in der Root zwar einen Ordner anlegen aber kein Textfile. Wie bzw. wo kann ich diese Rechte noch anpassen? Vielen Dank für eure Hilfe, habe bisher in der Suche leider nichts gefunden. Liebe Grüßle Neo bearbeitet 20. Mai 2015 von Neokles Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 20. Mai 2015 Melden Teilen Geschrieben 20. Mai 2015 Moin, höhere Rechte als lokaler Administrator kann man nicht haben. Auch ein Domänen-Admin hat keine höheren Rechte auf einem System. Zwei Möglichkeiten: Dir steht die UAC im Weghttp://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Es fehlen Rechte am konkreten Objekt (Ordner), aber die kann ein lokaler Administrator sich einfach selbst erteilen Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.099 Geschrieben 20. Mai 2015 Melden Teilen Geschrieben 20. Mai 2015 Auch ein Domänen-Admin hat keine höheren Rechte auf einem System. Aber wenn du sagen kannst, du bist Enterprise-Administrator und Schema-Admin, dann klingt das schon so spacig nach Mr. Spock. ;) Voll l33t :p Bye Norbert Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 20. Mai 2015 Melden Teilen Geschrieben 20. Mai 2015 BTT :D Dem TO ist UAC im Weg - aus unbekannten Gründen hat MS entschieden, daß normale User auf %Systemdrive% und in %Public% zwar neue Ordner erstellen können, aber keine Dateien :) Zitieren Link zu diesem Kommentar
Neokles 10 Geschrieben 21. Mai 2015 Autor Melden Teilen Geschrieben 21. Mai 2015 (bearbeitet) Danke für eure Infos. Das Problem hier ist aber weitrechender. Wenn ich "nur" in der Gruppe lokale Administratoren auf meinen Server 2012 R2 bin und bin kein Domänen-Admin habe ich z. B. nicht das Recht den Befehl "net start" abzusetzen um einen lokalen Dienst zu starten. Genauso wenig kann ich dann z. B. nicht die Konfigurationsdatei meiner Datensicherung bearbeiten welche sich im Verzeichnis C:\Programme\Tivoli\.... befindet und diese abspeichern. Mein Ziel ist es pro Server einen eigenen Admin-Account zu hinterlegen welcher eben keine Domänenrechte besitzt. Wenn ich mich allerdings für solche Konfigurationseinstellungen jedes Mal als Domänen-Admin anmelden muss, ist es einfach unpraktisch. Achja fast vergessen: UAC habe ich bereits deaktiviert. Hat aber keine Änderung gebracht. Danke für eure Hilfe. Liebe Grüßle Neo bearbeitet 21. Mai 2015 von Neokles Zitieren Link zu diesem Kommentar
NorbertFe 2.099 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Du magst es nicht glauben, aber ein Domänen-admin heißt so, weil er in der Domäne (AD-DS) Rechte besitzt und nicht, weil er mehr Rechte auf lokalen "Maschinen" hätte. Hast du es mit dem "lokalen Built-In" Administrator mal versucht? Falls es mit dem geht, dann ist es UAC. egal ob du die schon deaktiviert hast oder nicht. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Und beim W2012R2 ist UAC nicht aus wenn Du den Regler nach unten drehst. Es muss auch noch ein Registry Key gesetzt/verändert werden. Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Moin, ... und neu starten muss man dann auch noch. Abgesehen davon, ist es meist die bessere Option, mit der UAC richtig umzugehen als sie abzuschalten. Und ja, die beschriebenen "Phänomene" passen exakt auf UAC. Gruß, Nils Zitieren Link zu diesem Kommentar
Neokles 10 Geschrieben 21. Mai 2015 Autor Melden Teilen Geschrieben 21. Mai 2015 Hi Norbert, danke für den Hinweis. Ich stand leider komplett auf der Leitung. :( Mit dem "lokalen Built-In" Admin funktioniert es. Muss mich einfach jetzt mit dem UAC auseinandersetzen, dass ich dies nun hinbekommen. Danke schön. Hi Nils, den uac deaktiviere ich auch nur zum Testen. Dieser wird natürlich wieder aktiviert und den Neustart habe ich bereits durchgeführt. Danke. :-) Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Wenn es mit dem Builtin geht und mit "Deinem" nicht, dann ist Deiner wohl kein Admin... Was sagt "whoami /groups" dazu? Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Moin, neenee, der eigene kann sehr wohl Admin sein, aber er wird dann eben durch UAC eingeschränkt. Der Builtin-Administrator ist das einzige Konto, bei dem UAC nicht aktiv ist. Passt also. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Dochdoch... "Benutzerkontensteuerung: Verwendung des Administratorgenehmigungsmodus für das integrierte Administratorkonto". Aber wir meinen das gleiche. Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 21. Mai 2015 Melden Teilen Geschrieben 21. Mai 2015 Moin, ja, aber das ist ja normalerweise nicht aktiv. (Auch wenn wir das gleiche meinen. :D) Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.