FollowtheBlin 10 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 Servus... Folgende Ausgangssituation: ein Win2003 Server muss als Domaincontroller agieren. In der Domain sind verschiedene Rechner. Den Benutzern sollen LOKAL Admin Rechte zustehen, natürlich nicht in der Domäne! Als Admintool benutze ich NetAdmin 2004. Habe es leider bisher noch nicht geschafft, das oben genannte zu erreichen. Habt ihr Tipps? oder geht das überhaupt? ACHTUNG: das muss gehen, ohne das man auf den lokalen Rechnern in den Benutzerkonten den Benutzer als Admin einträgt. Sonst wärs ja einfach :rolleyes: Das Projekt soll an einer schule realisiert werden mit 1000 Schülern, daher muss ich wissen, wie ich das mit oben genannten Sachen einrichten kann, ohne an die lokalen Rechner drangehen zu müssen.... Bei Fragen mail mir einfach, danke! Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 Hy, da fallen mir nur 2 Möglichkeiten ein 1. lokales Admin PW verraten (sehr schlechte Idee ) 2. eigene Gruppe erstellen und die lieben kleinen da reinstecken und entsprechend die Gruppe in die Admin Gruppe der lokalen WS stecken. Gruß CoolAce Zitieren Link zu diesem Kommentar
kryble 10 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 Hi, die Lösung heißt "Eingeschränkte Gruppen" in den Benutzereinstellungen im AD. Es gibt auch Möglichkeiten, Benutzer nur mit Installationsrechten auszustatten (reicht meist schon). Wenn du damit nicht klar kommst such ich dir eine Anleitung raus dir mir damals geholfen hat. Zitieren Link zu diesem Kommentar
FollowtheBlin 10 Geschrieben 18. August 2005 Autor Melden Teilen Geschrieben 18. August 2005 hai..... ja, ne anleitung wär cool, aber zumindest hab ich das prinzip verstanden. also ne gruppe definieren, die ich mit rechten ausstatten kann wie ich mag..... sehr cool, wäre wie gesagt sehr dankbar für die Anleitung =) :) ciao Zitieren Link zu diesem Kommentar
triebwerk 10 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 Hi! 1. Du erstellst eine Gruppe und fügst alle User die das Recht haben sollen hinzu. 2. Du erstellst ein GPO das du auf eine OU anwendest die für alle Arbeitsstationen gilt (oder auch mehrere OUs) 3. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitsrichtlinien -> Eingeschränkte Gruppen -> Gruppe hinzufügen -> Gruppe ist in deinem Fall "Administratoren" -> Unter "Mitglieder dieser Gruppe sind" trägst du die erstellte Gruppe "DOMÄNE\Gruppenname" ein UND die Gruppe "DOMÄNE\Domänen-Admins" UND "Administrator" (sonst sind die Domänen-Admins und der Administrator-Account auf den Rechnern keine Admins mehr) und das wars. Aber beachte, damit kannst du viel Zerstören, denn die Mitglieder dieser Gruppe (und sonst niemand) sind jetzt lokale Admins auf allen Rechnern auf die das GPO zieht. Die Betonung liegt auf "und sonst niemand" auch nicht wenn du jemanden auf dem PC händisch einträgst -> bei der nächsten Aktualisierung des GPOs ist er wieder raus. Du solltest damit sehr vorsichtig sein und dir genau überlegen was du wo anwendest! Hier noch ein Link dazu, lies das vorher: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx Gruß triebwerk Zitieren Link zu diesem Kommentar
FollowtheBlin 10 Geschrieben 19. August 2005 Autor Melden Teilen Geschrieben 19. August 2005 Aber mom bitte...... bei euren ganzen möglichkeiten muss ich an die lokalen Rechner dran. Das versuche ich ja grad zu umgehen!!! kann man das nicht alles serverseitig einstellen? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 Hallo, bei triebwerks Methode machst du das alles am Server, da brauchst du nicht an die einzelnen Rechner ran. Aber nimm auch triebswerks Anmerkungen ernst! Christoph Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 @threadschreiber Überlege dir zuerst doch nochmal ob das wirklich so Sinn macht bei einer Schule ? Denn du machst sonst jeden 2 Tag alle Rechner neu !!! Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 Ich betreue auch eine Schule und wenn Du das machst, hast Du ne menge Arbeit und musst hinterher wieder an jeden Rechner! Was willst Du denn bezwecken mit den lokalen Adminrechten? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 Hallo, Die Diskussion möchte ich mal verfolgen. für eine Schule sollte eigentlich das Motto gelten "Nach dem nächsten Boot ist alles wieder gut".(Volker Rüddigkeit) http://help.bildung.hessen.de/support/techhilf/boot/boot Mit dem Einsatz von PC-Wächter etc. kann man die User alles machen lassen, nach dem nächsten Boot ist alles wieder im Originalzustand. Ansonsten kennt man bei administrativen Rechten der Benutzer die Installation nach kurzer Zeit nicht mehr wieder. Gruß Edgar Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 muss ich an die lokalen Rechner dran. Das versuche ich ja grad zu umgehen!!! kann man das nicht alles serverseitig einstellen?Bei einer funktionierenden Domäne (2k, 2k3) werden die Einstellungen der Gruppenrichtlinien auf einem DC vorgenommen. Beim Neustart bzw. Anmeldung werden die Richtlinien vom Client übernommen. Ein Bearbeiten der lokalen Gruppenrichtlinien am Client ist nicht nötig. Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 @Edgar PC-Wächter-Karten..... schön und gut aber wo bleibt das Administrieren???? Wenn ich solch eine Karte im Rechner stecken habe kann das Administriren vergessen, weil ich den Rechner erst in den Adminmodus starten muss um was zu ändern! Ich kann keine: - Softwareverteilung - SUS- Updateverteilung - Berechtigungen durch GPO usw usw Mit so einer Karte wird man zun Tunschuhadmin! Ist nur meine Meinung. Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 @legf Das Motto "Nach dem nächsten Boot ist alles wieder gut" sollte wirklich für alle Schulen gelten. Die meisten Musterlösungen verlangen oder gestatten das ja. Und wenn man je eine Ausnahme machen muss ? Dann sowenig Rechte wie möglich. @threadschreiber Wenn du das machst ? Wirst du zum Turnschuhadmin und setzt die Rechner wirklich jeden Tag neu auf. Zitieren Link zu diesem Kommentar
FollowtheBlin 10 Geschrieben 19. August 2005 Autor Melden Teilen Geschrieben 19. August 2005 Die Rechner haben alle PC Wächter Karten.......desshalb auch die Adminrechte..... Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 Das hatten die Rechner in der Schule die ich betreue auch, wie ich schon sagte **hatten**. Als erstes habe ich die rausgeschmissen und alles über Berechtigungen bzw. Richtlinien gelöst! Wenn ein Programm lokale Adminrechte braucht habe ich das in der Registry eingerichtet und den veränderten Schlüssel kann man auch über eine GPO verteilen! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.