Revi 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Ich möchte einem lokalen Benutzer bzw. einer lokalen Gruppe "JuniorAdmins" das Recht geben, Programme zu installieren. Ich habe zwar hier schon oft gelesen das es geht, aber leider nicht, wie es geht. Ich habe auch schon versucht, den PC in meine W2k3 Domäne aufzunehmen und das per GPO zu regeln. Aber leider ohne Erfolg. Wie geht es, dass ich dieser lokalen Gruppe und deren Mitglieder die Möglichkeit gebe, Programme zu installieren, ohne dass sie volständige Admin-Rechte bekommen (z.B. Übernehmen des Ordnerbesitzes, etc.) Ich hoffe, Ihr könnt mir helfen, ich bin leider schon am Verzweifeln Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Hast Du Deine Leute mal in die lokale Gruppe Hauptbenutzer getan ? Mitglieder dieser Gruppe haben erweiterte Rechte, sind aber noch lange keine Admins ... Du kannst die Gruppenzugehörigkeit auch via Gruppenrichtlinie konfigurieren Zitieren Link zu diesem Kommentar
Revi 10 Geschrieben 25. Oktober 2005 Autor Melden Teilen Geschrieben 25. Oktober 2005 Ich habe sie Gruppe "JuniorAdmins" in der Gruppe "Hauptbenutzer" eingetragen über "net localgroup". Da steht sie auch als Mitglied drin. Aber z.B bei der Installation von "Spybot Search&Destroy" kommt die Fehlermeldung, dass man Administratorenrechte zum Instalieren benötigt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Man muss dazu sagen, dass einige Dinge ausschliesslich den Administratoren vorbehalten sind. Ich schau mal, ob ich eine Liste finde, in der genau die Unterschiede beschrieben sind ... edit: Power Users The Power User class can perform any task except for those reserved for Administators. They are allowed to carry out functions that will not directly affect the operating system or risk security. All domain accounts are part of the Power Users group on public Windows 2000 computers. Power Users Can: * Create local user accounts * Modify user accounts which they have created * Change user permissions on users, power users, and guests * Install and run applications that do not affect the operating system * Customize settings and resources on the Control Panel, such as Printers, Date/Time, and Power Options * Do anything a User can Power Users Cannot: * Access other users' data without permission * Delete or modify user accounts they did not create Users Users can perform common tasks, but have little power to affect the computer outside of their own account. The Users group is the most secure environment in which to run programs, since a User cannot affect the operating system or program files. Users Can: * Create, modify, and delete their own data files * Run system-wide or personally installed applications * Change their personal settings * Install programs for their own use only * Access the network * Print to local or networked printers * Do anything a Guest can Users Cannot: * Modify system-wide settings, operating system files, or program files * Affect other users' data or desktop settings * Install applications that can be run by other users * Add printers * Configure the system for file sharing Administrators Members of the Administrator group have total control over the computer and everything on it. The user named Administrator is the default account within this group. The domain account of each faculty or staff member with a Windows 2000 computer is part of the Administrator group on his or her computer. Administrators Can: * Create, modify, and access local user accounts * Install new hardware and software * Upgrade the operating system * Back up the system and files * Claim ownership of files that have become damaged * Do anything a Power User can Ist zwar nicht ganz, was ich gesucht habe, aber immerhin ... ;) Zitieren Link zu diesem Kommentar
Revi 10 Geschrieben 25. Oktober 2005 Autor Melden Teilen Geschrieben 25. Oktober 2005 Vielen Dank für die Mühe schon mal im Vorraus! Ich schätze mal, dass das Mit Berechtigungen in der Registry oder beim Zugriff auf Dienste zu tun hat... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Entscheidend ist wohl "Install and run applications that do not affect the operating system" ... Zitieren Link zu diesem Kommentar
Revi 10 Geschrieben 25. Oktober 2005 Autor Melden Teilen Geschrieben 25. Oktober 2005 Aber was ist dann in diesem Thread gemeint: http://www.mcseboard.de/showthread.php?t=69438&highlight=benutzer+programm+installieren ? Könnten es auch mangelnde Ordnerberechtigungen für ein Windows-Unterverzeichnis sein? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Meinst Du das "Es gibt auch Möglichkeiten, Benutzer nur mit Installationsrechten auszustatten (reicht meist schon)" ? <--- und wie ? Es sind nicht nur Berechtigungen auf Dateien und Verzeichnisse, es sind Berechtigungen auf Zweige der Registrierdatenbank, Benutzerrechte usw., die bei einem Administrator anders sind als bei einem Hauptbenutzer oder Benutzer. Es ist bei Dir ja wohl auch nicht so, dass die Benutzer nach dem Zufügen zur Hauptbenutzergruppe gar nichts installieren dürfen. Sie dürfen offenbar keine systemkritischen Dinge installieren. Es gibt eine Sicherheitsvorlage compatws.inf, die diese Sicherheitseinstellungen etwas reduziert, aber deswegen kann man immer noch nicht alles machen ... Zitieren Link zu diesem Kommentar
Revi 10 Geschrieben 25. Oktober 2005 Autor Melden Teilen Geschrieben 25. Oktober 2005 OK, ja Danke für die Idee, ich werde es mal mit der Sicherheitsvorlage versuchen. Ansonsten werde ich es einfach mal drauf ankommen lassen, ob meine Nichte dann mit Ihren Programmen und Spielen (z.B. Sims2 benötigt zum spielen Adminrechte) zurechtkommt. Ansonsten muss ich wohl in den sauren Apfen beißen und Ihr Adminrechte lassen. Sollte ich aber genaueres herausbekommen bezüglich dem Zugriff auf Dienste, Ordner und die Registry, werde ich diese ERfahrung hier nochmals posten. Vielleicht steht ja nochmal jemand vor diesem Problem bzw. dieser Idee. Vielen DAnk für Deine geistige Mühe! Gruß, Revi Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Denke aber daran, dass compatws.inf die Hauptbenutzergruppe leert ... :) Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 1. Januar 2006 Melden Teilen Geschrieben 1. Januar 2006 Hast Du Deine Leute mal in die lokale Gruppe Hauptbenutzer getan ? Mitglieder dieser Gruppe haben erweiterte Rechte, sind aber noch lange keine Admins ...Du kannst die Gruppenzugehörigkeit auch via Gruppenrichtlinie konfigurieren Ich habe ein sehr ähnliches Problem. Auf meinem 2003 Server habe ich eine Gruppe mit dem Namen "Angestellte" erstellt, in der jeder Bentzer auch Hauptbenutzer sein soll. Nur leider finde ich dieses Objekt nicht im ganzen Active Directory. Kann das sein!? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 1. Januar 2006 Melden Teilen Geschrieben 1. Januar 2006 Hi Leute, @all bitte nicht mit Adminrechten und/oder Hauptbenutzerrechten arbeiten. Wir als Admins sollten das nicht tun u. User schon gleich garnicht! https://www.mcseboard.de/showthread.php?t=66853 @Patrick die Gruppe Hauptbenutzer gibts im AD nicht sondern nur in der SAM deiner Clients um die Benutzer dieser lokalen Gruppe hinzuzufügen behilfst du dir am besten mit einer Gruppenrichtlinie: http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#EGruppen Aber Vorsicht von der Verwendung dieser Gruppe würde ich eindeutig abraten! Sogar MSFT hat dies erkannt u. einen KB-Artikel dazu geschrieben u. in der Nachfolgerversion von XP (Vista) diese Gruppe gestrichen. A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP: http://support.microsoft.com/default.aspx?scid=kb;en-us;825069 LG Gadget Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 1. Januar 2006 Melden Teilen Geschrieben 1. Januar 2006 Aber Vorsicht von der Verwendung dieser Gruppe würde ich eindeutig abraten!...LG Gadget Tach Gadget, Vielen dank, dass du dich unserer annimmst! Wenn nicht mit Gruppenrichtlinien, wie dann? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 1. Januar 2006 Melden Teilen Geschrieben 1. Januar 2006 Hi, Zitat:Zitat von Gadget Aber Vorsicht von der Verwendung dieser Gruppe würde ich eindeutig abraten!...LG Gadget Vielen dank, dass du dich unserer annimmst! Wenn nicht mit Gruppenrichtlinien, wie dann? Bitte nicht Gruppen u. Gruppenrichtlinien mixen, sry für die Frage aber der Unterschied zwischen einer Benutzergruppe (die meine ich wenn ich von Gruppe spreche) u. einer Gruppenrichtlinie (Group Policy) ist dir bekannt oder? Ich hab nämlich nix von Gruppenrichtlinie nicht verwenden gesagt sonder von der Vergabe von Hauptbenutzerrechten für den Standardbenutzeraccount abgeraten. Warum ich davon abrate habe ich Ausführlich in meinem Tippartikel "Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!" beschrieben geht zwar um Adminrechte, da Verweise ich aber wieder auf den vorher genannten KB825069 LG Gadget Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.