Domänen-Gruppe als lokale Hauptbenutzer bzw. Admins

[keen5 10]

Hallo,

 

ich möchte einer Gruppe von Technikern, die öfters mal neue PC'S aufsetzen und Software installieren, in die lokale Hauptbenutzer bzw. Admin Gruppe einfügen.

 

Ich will dies aber nicht bei jedem Rechner manuell machen sondern automatisch bei jedem neu aufgesetzten Rechner soll diese globale Technikergruppe dann als Hauptbenutzer (od. Admin) auf diesem PC agieren können.

 

In etwa so wie bei den Domänen-Admins die auch automatisch in die lokale Admin-Gruppe eingetragen werden.

 

Wie kann ich das realisieren??

 

Thanx for Help :-))

 

keen5

[grizzly999 11]

Das geht mittels GPO und eingeschränkten Gruppen. Suche mal im Board danach, habe schon mal eine Anleitung gepostet, ansonsten hätte ich auch noch eine Step-by-Step-Anleitung zum Versenden.

 

grizzly999

[keen5 10]

Danke erstmal :-)

 

 

Ich hab im Forum gesucht und einige Hinweise gefunden:

 

 

Was ich dann gemacht habe:

 

- im AD rechte Maus auf die Domäne -> Eigenschaften -> Gruppenrichtlinien

- eine neue angelegt "globale Gruppe lokale Admins"

- diese bearbeiten

- unter Computerkonf. -> Windows. -> Sicherheits. -> eingeschränkte Gruppen die Gruppe "Techniker" hinzugefügt

- dieser Gruppe hab ich vorher 2 Techniker hinzugefügt

- fertig

 

Hab dann einen Rechner in der Domäne gebootet und die Gruppe Techniker under den lokalen Admins oder Haupbenutzern erwartet. War aber leider nicht so.

 

Hab ich was falsch gemacht ??

[grizzly999 11]

unter Computerkonf. -> Windows. -> Sicherheits. -> eingeschränkte Gruppen die Gruppe "Techniker" hinzugefügt

- dieser Gruppe hab ich vorher 2 Techniker hinzugefügt

- fertig

Das funktioniert so nicht. Die Globale Gruppe erstellen, ok. Die Benutzer rein (manuell am besten). Dann in der erstellten Richtlinie eingeschränkte Gruppe, dort ADMINISTRATOREN auswählen, dann in diesem Fenster der Gruppe Administratoren die vorher erstellte Gruppe Techniker hinzufügen.

 

Je nach OS auf dem Server, "secedit /refreshpolicy machine_policy /enforce" eingeben bzw. auf 2003 gpupdate. ein paar Sekunden warten (bei mehreren DCs replizieren), dann dasselbe auf dem Client machen, bei W2k secedit........ , bei XP gpupdate.

 

grizzly999

[keen5 10]

Also irgendwie funktioniert das bei mir nicht....

 

Ich habe alles noch mal gelöscht und neu aufgesetzt:

 

- Rechtsklick auf das AD -> Eigenschaften--> Gruppenrichtlinien

Dort eine neue Richtlinie mit dem Name "lokale Admins" angelegt

Dann auf Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Administrative Gruppen.

 

- Dort auf Hinzufügen und Administratoren hinzugefügt.

Dann rechtsklick und auf Sicherheitseinstellungen bei "Mitglieder der Gruppe" die vorher angelegte globale Gruppe "Techniker" hinzugefügt.

 

Alles mit ok bestätigt.

 

- CMD öffnen und :secedit /refreshpolicy machine_policy /enforce eingegeben.

 

Auf dem client habe ich auch den cmd-Vorgang wiederholt.

 

Aber leider ohne Erfolg. Meine lokale Gruppe auf dem Client bekommt die Gruppe "Techniker" nicht zu sehen!!?? Auch nach einigen Minuten nicht.

 

Irgendwas passt noch nicht :-))

 

Keen5

[gr@mlin 10]

hi,

 

schau mal hier rein: http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

 

gruss, gr@mlin

[the_brayn 10]

Hiho,

 

verbessert mich wenn es falsch ist, aber eine Gruppenzugehörigkeit erhält man doch nur bei einer Anmeldung, Stichwort Zugriffstoken. Oder täusche ich mich da. Mit secedit bekomme ich zwar die GPO aber nicht die Gruppenzugehörigkeit.

 

Gruß Guido

[grizzly999 11]

Das ist korrekt, da fehlte bei mir in der ausführlichen Beschreibung, damit das ganze überhaupt gleich getestet werden kann, noch der Abschlusssatz: "Neu anmelden am Client"!. (davon bin ich irgendwie selbstredend ausgegeangen)

Danke dir.. ;)

 

grizzly999

[keen5 10]

Ich habe mir mal die Website angeschaut und alles genau so gemacht wie beschrieben.

Ein obligatorisches Ab-/Anmelden hatte ich auch schon durchgeführt.

 

Jetzt habe ich auf meinem Testclient eine Fehlermeldung gefunden.

Diese Fehlermeldung wird jedes mal sofort in das Anwendungsprotokoll eingetragen wenn ich die Richtlinien auf dem Client über :

 

secedit /refreshpolicy machine_policy /enforce

 

aktualisieren will.

 

 

Fehlermeldung:

 

Der Benutzer oder der Computername kann nicht ermittelt werden. Zurückgegebener Wert (1722).

 

Habe schon mal im Forum gesucht und evtl. Probleme mit dem DNS-Lookup gefunden. Im DNS-Server ist der Clientrechner aber vorhanden.

 

grüße keen5

[giffy 10]

Nach meiner Ansicht wäre das Vergeben der Adminrechte für die Techniker nicht optimal.

Wenn die Techniker Rechner nur aufstellen und sie in der Domäne hinzufügen, gibt es ein vorgefertigte Standart Gruppenrichtlinie die ich der globalen Gruppe der Techniker hinzufügen würde.

Somit bleiben die Admins Master of the Puppets. Es ist alles hierachisch.

[keen5 10]

Morgen,

 

es reicht mir ja fast schon wenn sie als Hauptbenutzer agieren könnten. Selbst das funktioniert nicht. Ich kann die Gruppe zwar auf dem AD anlegen aber es tut sich nichts.

 

 

mfg

keen5

[keen5 10]

Hallo,

 

hat doch funktioniert. Hat bei uns nur ne Nacht gedauert.

Hab ein heiloses durcheinander verursacht :-))

 

Jetzt ist aber alles wieder ok.

 

Thanx :-))

 

keen5