Jump to content

Win2003 Server und Benutzer in Domäne


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Servus...

 

Folgende Ausgangssituation: ein Win2003 Server muss als Domaincontroller agieren. In der Domain sind verschiedene Rechner. Den Benutzern sollen LOKAL Admin Rechte zustehen, natürlich nicht in der Domäne!

 

Als Admintool benutze ich NetAdmin 2004. Habe es leider bisher noch nicht geschafft, das oben genannte zu erreichen.

 

Habt ihr Tipps? oder geht das überhaupt?

 

ACHTUNG: das muss gehen, ohne das man auf den lokalen Rechnern in den Benutzerkonten den Benutzer als Admin einträgt. Sonst wärs ja einfach :rolleyes:

 

Das Projekt soll an einer schule realisiert werden mit 1000 Schülern, daher muss ich wissen, wie ich das mit oben genannten Sachen einrichten kann, ohne an die lokalen Rechner drangehen zu müssen....

 

Bei Fragen mail mir einfach, danke!

Link zu diesem Kommentar

Hi!

 

1. Du erstellst eine Gruppe und fügst alle User die das Recht haben sollen hinzu.

2. Du erstellst ein GPO das du auf eine OU anwendest die für alle Arbeitsstationen gilt (oder auch mehrere OUs)

3. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitsrichtlinien -> Eingeschränkte Gruppen -> Gruppe hinzufügen -> Gruppe ist in deinem Fall "Administratoren" -> Unter "Mitglieder dieser Gruppe sind" trägst du die erstellte Gruppe "DOMÄNE\Gruppenname" ein UND die Gruppe "DOMÄNE\Domänen-Admins" UND "Administrator" (sonst sind die Domänen-Admins und der Administrator-Account auf den Rechnern keine Admins mehr)

 

und das wars.

 

Aber beachte, damit kannst du viel Zerstören, denn die Mitglieder dieser Gruppe (und sonst niemand) sind jetzt lokale Admins auf allen Rechnern auf die das GPO zieht. Die Betonung liegt auf "und sonst niemand" auch nicht wenn du jemanden auf dem PC händisch einträgst -> bei der nächsten Aktualisierung des GPOs ist er wieder raus.

 

Du solltest damit sehr vorsichtig sein und dir genau überlegen was du wo anwendest!

 

Hier noch ein Link dazu, lies das vorher:

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx

 

Gruß triebwerk

Link zu diesem Kommentar

Hallo,

 

Die Diskussion möchte ich mal verfolgen.

 

für eine Schule sollte eigentlich das Motto gelten "Nach dem nächsten Boot ist alles wieder gut".(Volker Rüddigkeit)

 

http://help.bildung.hessen.de/support/techhilf/boot/boot

 

Mit dem Einsatz von PC-Wächter etc. kann man die User alles machen lassen, nach dem nächsten Boot ist alles wieder im Originalzustand.

 

Ansonsten kennt man bei administrativen Rechten der Benutzer die Installation nach kurzer Zeit nicht mehr wieder.

 

Gruß

 

Edgar

Link zu diesem Kommentar
muss ich an die lokalen Rechner dran. Das versuche ich ja grad zu umgehen!!! kann man das nicht alles serverseitig einstellen?
Bei einer funktionierenden Domäne (2k, 2k3) werden die Einstellungen der Gruppenrichtlinien auf einem DC vorgenommen. Beim Neustart bzw. Anmeldung werden die Richtlinien vom Client übernommen. Ein Bearbeiten der lokalen Gruppenrichtlinien am Client ist nicht nötig.
Link zu diesem Kommentar

@Edgar

PC-Wächter-Karten..... schön und gut aber wo bleibt das Administrieren????

Wenn ich solch eine Karte im Rechner stecken habe kann das Administriren vergessen, weil ich den Rechner erst in den Adminmodus starten muss um was zu ändern!

Ich kann keine:

- Softwareverteilung

- SUS- Updateverteilung

- Berechtigungen durch GPO

usw usw

Mit so einer Karte wird man zun Tunschuhadmin!

 

Ist nur meine Meinung.

Link zu diesem Kommentar

@legf

 

Das Motto "Nach dem nächsten Boot ist alles wieder gut" sollte wirklich für alle Schulen gelten.

 

Die meisten Musterlösungen verlangen oder gestatten das ja.

 

 

Und wenn man je eine Ausnahme machen muss ? Dann sowenig Rechte wie möglich.

 

 

@threadschreiber

 

Wenn du das machst ? Wirst du zum Turnschuhadmin und setzt die Rechner wirklich jeden Tag neu auf.

Link zu diesem Kommentar

Das hatten die Rechner in der Schule die ich betreue auch, wie ich schon sagte **hatten**.

Als erstes habe ich die rausgeschmissen und alles über Berechtigungen bzw. Richtlinien gelöst!

Wenn ein Programm lokale Adminrechte braucht habe ich das in der Registry eingerichtet und den veränderten Schlüssel kann man auch über eine GPO verteilen!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...