Jump to content

Vergabe von lokalen Administrationsrechten über das AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

gibt es eine Möglichkeit (z.B. eine Sicherheitsrichtilinie oder ähnliches) mit welcher dem Administrator eines auf Active Directory - WIN2003 Domäne - basierendens Netzwerkes speziellen USERN administrative lokale Rechte auf ausgewählte Maschinen zu erteilen?

 

z.B. User001

- Im Netzwerk: Domänenbenutzer (mehr nicht)

- auf PC "WKS02434" lokaler Admin (aber nur auf dieser Maschine)

 

Die Vergabe der Rechte soll über das AD abgewickelt werden. Gibt es hierfür eine Möglichkeit? Vielen Dank im voraus!

Link zu diesem Kommentar

Hallo Benjamin,

 

also dieses Thema wurde hier schon wirklich zig mal bis zum erbrechen diskutiert worden.

 

In Kurzform (evtl. bemühst du mal die Suchfunktion hier im Board):

Ja es geht ist aber relativ, meiner Meinung nach, kompliziert und es geht nicht ohne nicht doch am lokalen PC dann eine Gruppe manuell, oder per, meiner Meingung nach, recht aufwändigen Skript, einzupflegen.

 

- Anlegen einer Sicherheitsgruppe für jeden PC im AD

- Hinzufügen des Benutzers in diese Gruppe

- Hinzufügen dieser Gruppe in der Gruppe der lokalen Adminstratoren (manuell oder Skript) auf dem betreffenden PC.

 

Natürlich kann man jetzt sagen: Dann kann ich ja gleich den Benutzer manuell in die Gruppe einpflegen, aber bei einem evtl. PC wechsel oder aus anderen Gründen das jemand Admin Rechte auf einem PC braucht, kannst du die Turnschuhe im Schrank lassen und zentral im AD eben diesen Benutzer in die (den) Gruppe(n) pflegen.

Link zu diesem Kommentar

@zahni: Kostet aber Asche oder?

 

Wie auch immer, ich grüble gerade wie es auch kostenlos gehen könnte.

 

Im Grunde heist der Befehl im Script:

 

net localgroup "Administratoren" "domäne\SicherheitsGruppe" /add

 

man könnte doch dann einen Computerlogon Skript über GPO basteln der da heist:

 

net localgroup "Administratoren" "domäne\%COMPUTERNAME%" /add

 

Vorraussetzung wäre dann natürlich das es eine Sicherheitsgruppe im AD gibt die genau so heist wie der Computername. Ich hab grad kein AD zur Hand, in Bayern ist heute Feiertag :D aber kann man eine Sicherheitsgruppe anlegen die den selben Namen hat wie ein schon vorhandens (Computer)Objekt!?

Link zu diesem Kommentar

Entweder bin ich plöd, blind oder beides oder ihr und oder ich habt die eigentliche Aufgabe nicht richtig verstanden. Deswegen hier nochmal die ursprüngliche Problemstellung:

 

Hallo,

gibt es eine Möglichkeit (z.B. eine Sicherheitsrichtilinie oder ähnliches) mit welcher dem Administrator eines auf Active Directory - WIN2003 Domäne - basierendens Netzwerkes speziellen USERN administrative lokale Rechte auf ausgewählte Maschinen zu erteilen?

 

z.B. User001

- Im Netzwerk: Domänenbenutzer (mehr nicht)

- auf PC "WKS02434" lokaler Admin (aber nur auf dieser Maschine)

 

Die Vergabe der Rechte soll über das AD abgewickelt werden. Gibt es hierfür eine Möglichkeit? Vielen Dank im voraus!

 

Ich verstehe das so:

 

Die PC's sind personalisiert und jeder "Besitzer" soll lokale Admin Rechte erhalten aber eben nur auf seinem PC.

 

Da hilft es mir doch nicht, und so habe ich Eingeschränkte Gruppen verstanden, das ich eine Gruppe erzeuge und die in allen PC's in die Gruppe der lokalen Admins reinstecke. Dann hätte ja jeder auf jedem PC lokale Adminrechte und das ist nicht erwünscht, so wie ich das verstanden habe, oder bin ich jetzt auf dem Holzweg oder in einer Sackgasse und verstehe nur mehr Bahnhof?

 

EDIT: Zu Spät :D

Link zu diesem Kommentar

@benjamin:

 

Ich habe mich gerade mal in unser Firmennetzwerk verbunden und war in der Lage eine Sicherheitsgruppe anzulegen die genauso heist wie mein PC.

 

Test mal ob du nicht für jeden PC eben eine solche Gruppe erzeugen kannst. Dir das Mitglied reinschmeisst das lokaler Admin sein soll und einen Computerlogonskript erzeugt, wie in Postcount=4 zu lesen ist, das du in eine GPO linkst die auf den Computern angewendet wird.

 

Das wäre der einzige Vorschlag von meiner Seite das einigermasen zu automatisieren.

 

Bisher haben wir noch in allen Firmen in denen ich war die Benutzer händisch in die lokale Admin Gruppe aufgenommen.

 

Das erwähnte Tool kenn ich nicht, kostet aber wahrscheinlich.

 

Es wäre schön wenn du dein Ergebniss wie du zum Ziel kamst hier posten würdest.

Link zu diesem Kommentar

Ich kenne eine etwas aufwendigere Lösung. Die User mit lokalen Adminrechten werden in einer Datenbank (vorzugsweise SQL) erfasst. Mit dem Anmeldescript wird eine Seite auf einem Webserver (Windows2003 mit ASP) aufgerufen, die mit den Rechten des Webservers die Gruppe der Administratoren "bereinigt". So wird bei jedem Anmeldevorgang die Gruppe "Administratoren" aktualisiert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...