v-rtc 88 Geschrieben 17. November 2017 Melden Teilen Geschrieben 17. November 2017 Hallo zusammen, ich hab mal eine Frage, vielleicht hat dies ja der ein oder andere schon mal machen müssen. Gibt es eine Möglichkeit Remotedesktop auf einen DC zu machen, ohne Domänenadministrator Berechtigung? Falls ja, wie habt Ihr das gelöst? Ich hab zwar in den GPOs einen Eintrag gefunden, allerdings wenn man diesen ändert, bekommt man den ursprünglichen Zustand nicht mehr her, bzw. kann den nicht mehr richtig anpassen.Vielen Dank vorab.Grüße Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 17. November 2017 Melden Teilen Geschrieben 17. November 2017 Wieso will man auf einen DC ohne Dom-Admin Rechte? Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 17. November 2017 Autor Melden Teilen Geschrieben 17. November 2017 Um z.B. nur Patches zu installieren... Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 17. November 2017 Melden Teilen Geschrieben 17. November 2017 Moin, wer administrative Rechte auf einem DC hat, hat diese auf jedem DC. Er ist dann nicht Domänen-Admin, kann sich aber zum Domänen-Admin machen. Ergo: Faktisch nicht umsetzbar. Gruß, Nils Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 17. November 2017 Autor Melden Teilen Geschrieben 17. November 2017 Das ist schade, dachte gibt evtl. über die GPO lokale Anmeldung zulassen einen Workaround. Grund war, wir wollten User haben, die keine Domänenadmins sind, aber trotzdem relativ befreit administrieren können. Bis zur Anmeldung am DC hat das bisher auch gut funktioniert. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 17. November 2017 Melden Teilen Geschrieben 17. November 2017 Moin, dazu müsstet ihr definieren, was denn "relativ befreit administrieren" heißt. Wenn jemand Software bzw. Updates installieren können soll, dann muss er Administrator sein. Ein Administrator ist ein Administrator und kann das ganze System und alle seine Komponenten manipulieren. Viele Kunden sind der Ansicht, dass es sich als Domänen-Admin durchaus "relativ befreit administrieren" lässt. Wenn ihr euch darunter anderes vorstellt, werdet ihr das definieren und dann ggf. ein bisschen mehr Arbeit aufwenden müssen. Man könnte sich ja z.B. die Frage stellen, warum sich denn jemand lokal anmelden muss, um Updates zu installieren. Es gibt da andere Möglichkeiten, wenn man sie braucht. Gruß, Nils Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 17. November 2017 Autor Melden Teilen Geschrieben 17. November 2017 Hallo, also Ziel war wirklich nur das einspielen von Updates. Ansonsten brauch man den DC ja in der Regel nicht. Meinst Du dann Updates automatisch einspielen, oder was ganz anderes?Vielen Dank.Grüße Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. November 2017 Melden Teilen Geschrieben 17. November 2017 (bearbeitet) Moin Schaue Erweiterte Systemeinstellungen, Remote, Remotedesktop bearbeitet 17. November 2017 von lefg Zitieren Link zu diesem Kommentar
Nobbyaushb 1.479 Geschrieben 17. November 2017 Melden Teilen Geschrieben 17. November 2017 Moin, auf einem DC gibt es keine lokalen Konten. Und ich würde NIEMALS einem Nicht-Dom-Admin RDP auf einem DC zulassen. Just my2Cents.... :rolleyes: Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 18. November 2017 Melden Teilen Geschrieben 18. November 2017 GPO für WSUS bauen. Updates automatisch installieren und neustarten lassen. Es sind DCs, da fällt es nicht auf, wenn man einer neustartet. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 18. November 2017 Melden Teilen Geschrieben 18. November 2017 Oder den WPP auf dem WSUS installieren, bzw. entpacken, darüber kann dann auch der User die Updates auf dem jeweiligen PC/Server installieren lassen. Powershell, psexec und so weiter. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 8. Dezember 2017 Autor Melden Teilen Geschrieben 8. Dezember 2017 (bearbeitet) Moin Schaue Erweiterte Systemeinstellungen, Remote, Remotedesktop Guten Morgen zusammen, das wäre in meinem Fall die Lösung. Allerdings muss man die Gruppen sorgfältig auswählen, da diese Einstellungen nicht mehr so leicht rückgängig gemacht werden können. Ich weiß, dass die Anforderung etwas ungewöhnlich ist... Grüße bearbeitet 8. Dezember 2017 von RolfW Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 8. Dezember 2017 Melden Teilen Geschrieben 8. Dezember 2017 Guten Morgen zusammen, das wäre in meinem Fall die Lösung. Allerdings muss man die Gruppen sorgfältig auswählen, da diese Einstellungen nicht mehr so leicht rückgängig gemacht werden können. Häh? Wo ist der Unterschied, ob ein "nicht gewollter Dom-Admin"-Admin per COnsole oder per RDP angemeldet wird? Er kann in beiden Fällen alles. Ich weiß, dass die Anforderung etwas ungewöhnlich ist... Wie du anhand dieses Threads siehst, ist sie weder ungewöhnlich, noch sinnvoll lösbar. Die sinnvollen Vorschläge oben ignorierst du ja geflissentlich. Bye Norbert Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 9. Dezember 2017 Autor Melden Teilen Geschrieben 9. Dezember 2017 Hallo Norbert, das ist schon richtig, der Unterschied ist, dass der andere kein Domänenadmin wäre. So wäre unser Ziel. Ich ignoriere die Vorschläge nicht, ich kann mich nur noch nicht richtig anfreunden damit. Vielen Dank alle. Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 9. Dezember 2017 Melden Teilen Geschrieben 9. Dezember 2017 Wenn man sich auf einem Dc anmeldet ist man schon so gut wie domänenadmin. Auch wenn du das nicht wahrhaben möchtest. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.