FollowtheBlin 10 Geschrieben 21. August 2005 Melden Teilen Geschrieben 21. August 2005 hallo..... In einer W2003 Server Dömane m öchte ich, das die Benutzer lokal als Admin agieren können, die Rechner sind geschützt dürch PC Wächter, kann also nichs passieren. Mir wurde schon geraten, das dieses vorhaben über eingeschränkte Gruppen funktionieren kann. Nur leider weiss ich nicht wie ich das aufzuziehen habe, und wie ich die rechteverteilung und den ganzen Rattenschwanz der daran hängt einzurichten habe. Könnt ihr mir helfen? Danke Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 21. August 2005 Melden Teilen Geschrieben 21. August 2005 Hi, wenn Du willst, daß alle User Administratoren sind (wovon ich Dir aber abraten möchte), dann füg' doch einfach die Domänen-Benutzer der Gruppe Administratoren im AD hinzu. Mit der nächsten Anmeldung hat dann jeder Admin-Rechte. Gruß Andre Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 21. August 2005 Melden Teilen Geschrieben 21. August 2005 @Operator Ich möchte dich nur ungern korrigieren, aber auf diese Art sind sind dann die Domänen benutzer auf allen Rechnern Admin, auch auf den Servern (aber nicht Domain Admins natürtlich - ist ein kleiner aber feiner unterschied ;) ). @FollowtheBlin Benutz mal die Boardsuche, ier gibt's schon jede Menger darüber ;) :) Eingeschränke Gruppen Gruss Velius Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 21. August 2005 Melden Teilen Geschrieben 21. August 2005 Stimmt, aber mir scheint, daß das den TO nicht weiter stören würde ;) Hab ich aber spontan auch nicht dran gedacht. Eingeschränkte Gruppen oder noch besser, Berechtigungen separat auf Systemrechte/Dateisystem/Registry setzen, ist in jedem Fall besser. Andre Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 21. August 2005 Melden Teilen Geschrieben 21. August 2005 ....oder noch besser, Berechtigungen separat auf Systemrechte/Dateisystem/Registry setzen, ist in jedem Fall besser. Andre Oder natürlich so rum! :) Gruss Velius Zitieren Link zu diesem Kommentar
FollowtheBlin 10 Geschrieben 22. August 2005 Autor Melden Teilen Geschrieben 22. August 2005 könnt ihr mir irgend ne Anleitunggeben wie das geht? Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 22. August 2005 Melden Teilen Geschrieben 22. August 2005 Hi, ganz trivial ist das nicht, aber ich liefere mal die Kurzanleitung. Mit NTFilmon und NTRegmon von http://www.sysinternals.com herausfinden bei welchen Keys bzw. Files Berechtigungsprobleme (ACCESS DENIED) auftreten und im Anschluß den Usern auf die Keys/Files via (Computer-) Gruppenrichtlinie ausreichenden Zugriff gewähren (Ändern bei Dateien reicht oft, Vollzugriff bei Registry-Keys). Einzustellen ist das ganze unter Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Dateisystem bzw. Registrierung Dort kannst Du einstellen, welche Keys/Files welche Berechtigung haben sollen. Auf die Durchsuchen Funktion musst Du dich verlassen, da nicht jeder Key unbedingt da sein muss. In dem Fall einfach den Pfad zur Datei / zum Key einfach unten in die Zeile eintragen. Beim nächsten Boot werden diese Einstellungen angewandt. Gruß Andre Zitieren Link zu diesem Kommentar
FollowtheBlin 10 Geschrieben 22. August 2005 Autor Melden Teilen Geschrieben 22. August 2005 aslo hab ich das jetzt richtig verstanden: Korrigiert mich auch bitte bei Reihenfolge: 1. im AD ne neu gruppe definieren und die user der zuordnen(auch in gruppe admins?) 2. in einer eingeschr, Gruppe diese leute zusammenfassen?(wie muss ich das machen) 3. dann andres geschichte mit den registrys? hab ichs vertsnaden oder gar net =) Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Hi, meine Geschichte wäre die zu bevorzugende Variante und kommt ohne Adminrechte aus. Ansonsten kannst Du wie von Dir beschrieben eine Gruppe anlegen, die alle Benutzer enthält, die auf den Rechnern Adminrechte erhalten sollen. Dann trägst Du unter Eingeschränkte Gruppen die Gruppe "Administratoren" ein und fügst die soeben erstelle Gruppe der User dort hinzu. Die Richtlinie sollte an eine OU gebunden sein, die alle betreffenden Computerkonten der Benutzer enthält bzw. dieser übergeordnet ist. Nach einem Neustart sind dann die entsprechenden Benutzer lokale Administratoren der Domäne. Da sowas meist gemacht wird, um Access-Denied Meldungen verschiedener Applikationen aus dem Weg zu gehen, ist das nicht immer die eleganteste Methode, da dem User dann weitreichende Berechtigen erteilt werden. Zu meinem vorherigen Posting gibt es auch einen c't Artikel, den Du Dir vielleicht irgendwo besorgen kannst. Es geht auch ohne Arbeiten ohne Admin-Rechte unter Windows c't 15/04, Seite 118 Viel Glück dabei! Gruß Andre Zitieren Link zu diesem Kommentar
Freili 10 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Mal ne Frage zwischendurch: Warum nicht mit dem guten alten net group Befehl im Anmeldescript? Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Hi, weil: Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\>[b]net group[/b] Dieser Befehl kann nur auf Windows-Domänencontrollern ausgeführt werden. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3515 eingeben. Außerdem müsste man schon Admin-Rechte haben, um die Mitgliedschaft eines Users ändern zu können. Der wird das als normaler User bei der Anmeldung nämlich nicht ausführen können. Andre Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.