SaschaVolk 2 Geschrieben 11. Februar 2019 Melden Geschrieben 11. Februar 2019 Hallo Ich würde gerne einem Kollegen rechte in der Domäne vergeben dass er Software auf Client PCs installieren, deinstallieren , Drucker hinzufügen usw darf. Möchte Ihn aber ungern in die Gruppe Domäne Admin reinnehmen. Kann mir da jemand ein paar Tips geben wie ich da am besten vor gehe. Zitieren
testperson 1.758 Geschrieben 11. Februar 2019 Melden Geschrieben 11. Februar 2019 Hi, erstelle im AD eine Gruppe "ClientAdmin" und pack diese, händisch oder per GPO, in die Gruppe der lokalen Administratoren der Client PCs. Gruß Jan Zitieren
SaschaVolk 2 Geschrieben 11. Februar 2019 Autor Melden Geschrieben 11. Februar 2019 Danke dir . Da habe ich wieder zu kompliziert gedacht. Wie geht ihr den mit lokalen Admin Rechten um bei Usern die teilweise Software unterwegs installieren müßen ?? Bei zb Techniker die bei Kunden Vor Ort sind . Die müßen ja auch teilweise die IP Adresse ändern können, Steuersoftware installieren und noch diverse andere dinge . Zitieren
NorbertFe 2.155 Geschrieben 11. Februar 2019 Melden Geschrieben 11. Februar 2019 Der Domänenadmin heißt übrigens DOMÄNENadmin, weil er die Domäne administriert und NICHT die PCs. Leider viel zu oft wird das aber nicht so gehandhabt. Zitieren
SaschaVolk 2 Geschrieben 11. Februar 2019 Autor Melden Geschrieben 11. Februar 2019 Und welches Konzept würdest du vorschlagen. Für die administration an den Clients einen eigene Admin User anlegen der in der Gruppe der Lokalen Admins ist und nur mit dem an den Clients arbeiten ?? Zitieren
NilsK 2.978 Geschrieben 11. Februar 2019 Melden Geschrieben 11. Februar 2019 Moin, genau. Wie auch der erste Vorschlag schon sagte. Genauer: Eine Gruppe, die das kann. Und in diese Gruppe einen separaten Admin-User für jeden Mitarbeiter, der das können soll. Separat zum normalen Account. Gruß, Nils Zitieren
SaschaVolk 2 Geschrieben 11. Februar 2019 Autor Melden Geschrieben 11. Februar 2019 Ok werde ich dann als GPO weitergeben. Hier wird das eigentlich ganz gut erklärt. https://blog.proact.de/2014/08/11/lokale-administratorenrechte-per-gruppenrichtlinie-vergeben/ Allerdings der Abschnitt "managedBy Admin" ist mir nicht ganz einleuchtend !! Zitieren
daabm 1.387 Geschrieben 11. Februar 2019 Melden Geschrieben 11. Februar 2019 Wenn es etwas flexibler sein darf: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Setzen wir grad im Enterprise-Umfeld "gaaaaanz langsam" um - und funktioniert prima. Jeder, der das einmal verstanden hat, kommt damit klar. Was ist Dir an dem managedBy unklar? BTW: Die Domain Admins haben in den lokalen Admins auf Clients NICHTS verloren, die kriegen einen expliziten "Deny" auf Interactive Logon. Der Artikel von Miriam ist technisch korrekt, aber einige Jahre hinterher. 2 Zitieren
SaschaVolk 2 Geschrieben 12. Februar 2019 Autor Melden Geschrieben 12. Februar 2019 Super danke das schaue ich mir mal an. Zitieren
NilsK 2.978 Geschrieben 12. Februar 2019 Melden Geschrieben 12. Februar 2019 Moin Martin, pfiffitsch. Merk ich mir. Gruß, Nils Zitieren
daabm 1.387 Geschrieben 12. Februar 2019 Melden Geschrieben 12. Februar 2019 Nils, nicht nur pfiffitsch, sondern auch extrem störungsfrei. Großer Vorteil: Last Writer wins ist ausgehebelt, Du kannst jederzeit "unten" weitere Member dazunehmen. Das hat uns mit RG schon heiße Stunden beschert, wenn oben plötzlich ein neuer Account für irgendwas berechtigt werden mußte, wo unten schon in spezifischen GPOs Accounts berechtigt waren... 1 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.