kosta88 2 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 (bearbeitet) Hallo, Ich habe bei mir folgende "Konstruktion": - WinSRV2008R2, Domänen-Administrator aktiv - eine Gruppe LokaleAdmins, diese ist Mitglied von der Gruppe "Administratoren" (und nicht von der Gruppe Domänen-Admins) - gewisse Benutzer werden Mitglieder der Gruppe LokaleAdmins Mein Vorhaben ist folgendes: - ich möchte den (gewissen) Benutzern auf einen "Schlag" die lokalen Berechtigungen für die Installationen auf den Rechnern erteilen (ergo die Gruppe oben) - die Benutzer bleiben i.d.R. auf den selben Rechner und sind dafür "verantwortlich" - aber, ich möchte auch, wenn erwünscht, dass sich die Mitarbeiter auch auf einem anderen Rechner anmelden können Wenn ich lokale Admin-Rechte vergebe, offensichtlich dürfen sich diese Benutzer auch auf die Server einloggen Wie kann ich das unterbinden? Die erste Idee die ich hatte war über "Anmelden an...", nur ich kann keine Computer-Gruppen erstellen, und einzelne Zuweisung ist recht mühsam abgesehen davon dass ich jeden Rechner händisch eintragen muss... Wichtig ist bei der Struktur den Administrations-Aufwand soweit wie möglich zu reduzieren, aber immernoch gewisse Sicherheit zu haben (vor allem davor, dass die Benutzer auf dem HV/DC kommen können). Danke! LG Kosta bearbeitet 16. Dezember 2015 von kosta88 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Es gibt die Computer-Lokale Gruppe "Administratoren". Da müssen die Domänen-User entweder direkt oder über eine Domänen-Gruppe rein. Allerdings drehen sich mir bei einem solchen Vorhaben die Fußnägel hoch. Den Administrationsaufwand wirst Du damit nicht reduzieren. Eher im Gegenteil. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 (bearbeitet) Gib den Usern keine Rechte auf dem Server. Der ja offensichtlich sogar DC ist. Warum packst du also User in die Domänen-Gruppe "Administratoren"? Ist dir klar, wozu diese Gruppe ist und warum sie existiert? Bye Norbert bearbeitet 16. Dezember 2015 von NorbertFe Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 (bearbeitet) Moin, das Stichwort für Google oder die Suchfunktion hier am Board ist wohl Eingeschränkte Gruppen. bearbeitet 16. Dezember 2015 von lefg Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 16. Dezember 2015 Autor Melden Teilen Geschrieben 16. Dezember 2015 (bearbeitet) Norbert, Wenn du schon so fragst, habe ich natürlich gegoogelt... und da sehe ich schon die Antwort. Ich habe bisher offensichtlich nicht gewusst, bzw. falsch gewusst, was diese Gruppe tut. Vor einiger Zeit habe ich gesucht nach einer Möglichkeit Zentral allen Benutzern die lokalen Rechte auf der bestimmten Maschine zu geben, um Installationen wie Java/Flash/WU selber zu machen. Ich habe keine Zeit für sowas. Wie es sich jetzt herausstellt, wenn der Benutzer Mitglied der Gruppe Administratoren, hat er praktisch höheren Rechte als ein Domänen-Admin (er ist Admin für alle Domänen Controller). Ups... Lefg, Danke, werde ich mehr darüber lesen. Ich sehe nach einer schnellen Suche dass schon was "dahinter" ist... bearbeitet 16. Dezember 2015 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Nein er hat keine höheren Rechte als ein Dom-Admin. Aber naja. Wenn du Flash usw. verteilen willst, schau dir lieber WSUS und WPP an, anstatt Usern deine Aufgaben überzuhelfen und zu hoffen, dass das funktionieren könnte. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.