Lokale Admin Rechte unter AD

[bennebaer 2]

Hallo Forum,

 

ich muss für ein Programm lokale Admin-Rechte vergeben, da es sich sonst nicht starten lässt.

Der entsprechende Benutzer hat die folgenden Berechtigungen.

 

Die Grp-LokaleAdminsaufClient sieht so aus:

 

 

Die Gruppenrichtlinie:

 

Wenn ich das Programm nun starte und als Benutzer einen User der Grp-LokaleAdmins... eingebe, erscheint dies Fenster mit der Meldung:

Alle lokalen Benutzerkonten des User habe auch Admin-Rechte.?!?!

Was mache ich falsch oder wie kann ich testen ob es nun an den Rechten oder doch an etwas anderes liegt?

P.S.: Bei Anmeldung mit dem Admin Konto des Servers funktioniert es. Der AD User ist auch Mitglied der Gruppe Administratoren.

[testperson 1.758]

Hi,

 

vor 4 Minuten schrieb bennebaer:

ich muss für ein Programm lokale Admin-Rechte vergeben, da es sich sonst nicht starten lässt.

da solltest du evtl. einmal mit dem Hersteller sprechen. Zumal auf deren Homepage unter dem Firmennamen "Software - Sicherhheit - Erfolg" auftaucht. Das hätte dann aber nichts mit den "benötigten" Admin-Rechten zu tun.

 

Ansonsten kannst du den Process Monitor anschmeißen und prüfen an welcher Stelle es klemmt.

 

Gruß

Jan

[daabm 1.386]

Du startest das Programm mit einem anderen Benutzer? Damit ist es aber noch nicht elevated, das kommt erst im zweiten Schritt... Und UAC ist für den Builtin Admin per Default ausgeschaltet. Beschäftige Dich mal 2 Stunden mit UAC und dem restricted und full token

[bennebaer 2]

Hallo Nochmal,

 

mir ist folgendes Aufgefallen.

Vor Einbindung der PC in die Do,öne waren diese als eigenständiger PC eingerichtet (Workgroud). Es war jeweils ein Standard Benutzer eingerichtet, welcher kein Passwort hatte.

Nach der Einbindung der PCs in die AD Domäne, konnte der lokale User immer noch ohne PW aufgerufen werden.

Nachdem ich nun die lokalen Admin Rechte vergeben habe, verlangt auch der Standard lokale Benutzer nach einem Passwort. Natürlich kenne ich das nicht.

Wie komme ich jetzt wieder auf das lokale Profil um z.B. Programmeinstellung, etc. abzurufen?

[mba 133]

Haben die Benutzer den selben Namen?

Wirklich lokale Anmeldung?

 

Wenn ja, kannst Du statt Passwort enter drücken

[Dukel 460]

Du kannst dem Lokalen User ein Passwort vergeben, welches du dann kennst.

[bennebaer 2]

Geht das in der Computerverwaltung --> Lokale Benutzer und Gruppen --> Kennwort festlegen

Der Dialog macht mich etwas nachdenklich. Nicht das ich danach gar nicht mehr auf den Benutzer komme

 

[NorbertFe 2.155]

Naja das warnt dich davor, dass ggf. mit EFS verschlüsselte Dateien hinterher nicht mehr entschlüsselt werden können. Wenn du EFS nicht nutzt, dann gibts keinen Grund nicht auf "Fortsetzen" zu klicken.

[Squire 273]

doch genau so ... und bitte nicht die Administratoren/Buildin verwenden! Damit machst Du den User zum Admin auf allen Kisten in Deiner Domäne inklusive der Server!

 

Wenn er denn wirklich auf seiner Kiste Admin sein soll ... händisch auf dem Rechner den jeweiligen User in die LOKALE Admin Gruppe packen.

 

Wenn ein User/Gruppe auf den Clients Admin sein soll, dann über die Eingeschränkten Gruppen per GPO. Die User in eine Gruppe packen und die Gruppe den Admins hinzufügen ... dann natürlich nur auf die Clients anwenden!

[bennebaer 2]

Ich werde noch verrückt.

Ahh, jetzt habe ich es, Zwar nicht das PW geändert aber es wurde ein anderer lokaler Benutzer vorausgewählt. Mit einem Benutzerwechsel am lokalen PC ging es dann auch ohne PW wieder.

 

[lefg 276]

Moin

 

Ob wirklich sogenannte "Adminrechte" nötig? Woran hakt es denn? Ich konnte es mit dem Prozessmonitor verfolgen und fand das Verzeichnis und die Datei. Die Berechtigung auf die Datei geändert und schon waren keine "Adminrechte" mehr nötig.

 

Gegebenfalls schaut man mal beim Hersteller in die FAQ, fragt den Support.

[bennebaer 2]

Die lokalen Admin Rechte waren wohl aus der Gruppenrichtlinie noch nicht übernommen. Nun geht es.

[bennebaer 2]

Hallo Forum,

 

ich muss nochmal auf dieses Thema zurückkommen.

Die bei Gruppenrichtlinie verteilten lokalen Adminrechte funktionieren nicht. Als Workaround habe ich dem AD Benutzer auf dem PC in die Gruppe der lokalen Admins eingefügt.

Nun möchte ich aber doch verstehen warum das nicht per Gruppenrichtlinie klappt. Mir fehlt aber der Ansatz wie ich vorgehe um zu prüfen wo der Fehler liegt.

Hat dazu jemand einen Tipp für mich?

[daabm 1.386]

"Funktionieren nicht" ist keine Situationsbeschreibung, aus der ich eine Diagnose ableiten kann - die Glaskugel ist in Quarantäne...   Hier funktioniert das zigtausendfach problemlos. Du machst also etwas falsch. Jetzt müßte man wissen, WAS Du machst - dann kann man darüber nachdenken, was daran falsch sein könnte.

[bennebaer 2]

Z.B. beim Update einer Software muss immer der AD Admin + Passwort eingegeben werden.

Ein Admin Benutzer auf dem Server wird nicht als Admin Account angenommen und auch nicht die Benutzerdaten des User mit vermeintlichen lokalen Admin Rechten.