madben 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 hallo, ich habe schon ausgiebig im forum gesucht, tue mich offensichtlich etwas schwer, eine lösung zu finden. in unserer domäne existiert eine gruppe mit "Basis Admins", die keine domänen-admins sind, jedoch per gpo und gruppenzugehörigkeiten diverse rechte haben (benutzerverwaltung usw.). nun müssen diese user auch software installieren dürfen. das funktioniert jedoch nur eingeschränkt. auf welche weise kann ich am besten per gpo die berechtigung zur uneingeschränkten softwareinstallation vergeben? danke + gruss ben Zitieren
madben 10 Geschrieben 17. Januar 2006 Autor Melden Geschrieben 17. Januar 2006 hat niemand einen tipp dazu? oder ist meine beschreibung des problems unschlüssig formuliert? danke + gruss ben Zitieren
Hirgelzwift 10 Geschrieben 17. Januar 2006 Melden Geschrieben 17. Januar 2006 Du erzeugst ein logon script in einer .cmd mit dem befehl: net localgroup "Administratoren" "domäne\basis admins" /add damit wird die gruppe der basis admins, den namen mußt du natürlich anpassen ;), in die Gruppe der lokalen Admins aufgenommen. Definiere dieses Script in einer Computer GPO als Logon Script und verknüpfe sie mit der OU in der die PC's sind auf den dieses Basis Admins Software installieren dürfen. Zitieren
madben 10 Geschrieben 17. Januar 2006 Autor Melden Geschrieben 17. Januar 2006 hallo, danke für deinen tipp. das bedeutet aber, dass die BasisAdmins auf jeder maschine lokale admins sind, oder? ich möchte das, wenn möglich, ohne lokale und domänen-adminrechte realisieren. geht das auch anders? danke + gruss ben Zitieren
hh2000 10 Geschrieben 17. Januar 2006 Melden Geschrieben 17. Januar 2006 Reicht, wie Hirgelzwift vorgeschlagen hat, evtl. auch "Hauptbenutzer" statt lokale Administratoren? Zitieren
Hirgelzwift 10 Geschrieben 17. Januar 2006 Melden Geschrieben 17. Januar 2006 meißtens benötigt eine software installation admin rechte auf dem pc. wenn du das auch nicht willst kannst du noch einen trick anwenden: erzeuge einen user der in der domäne nur benutzer rechte hat aber auf den pc's wohl wieder zu den lokalen admins zählt. nehme also diesen user über den vorgeschlagen script in die lokale admin gruppe auf. erzeuge einen script in dem die installation läuft. wenn es xp clients sind dann kannst du der installationsroutine mit runas laufen lassen. bei w2K clients kannst du bei runas kein pw mitgeben, da mußt du dann auf ein 3rd party tool zurückgreifen. ich empfehle immer pcwrunas (ist freeware): http://www.pcwelt.de/downloads/heft-cd/11-05/121503/ geht übrigens auch mit XP Clients, brauchst dann keine zwei batches. wenn du aus sicherheitsgründen die batch noch unleserlich machen willst dann gibt es einen batch converter: http://www.windows-software.de/info-1375.html letzteres habe ich noch nicht getestet wurde aber hier im board schon empfohlen. das (convertierte) batch lässt du dann beim logon des users laufen, z.B. als logon script oder rufst es aus deinem logon skript heraus auf. ich hoffe meine ausführungen waren verständlich. viel spaß und viel erfolg :) Zitieren
madben 10 Geschrieben 18. Januar 2006 Autor Melden Geschrieben 18. Januar 2006 hallo, nach einiger suche habe ich nun doch noch etwas gefunden. im entsprechenden GPO kann man folgendes setzen: Administrative Vorlagen -> Windows Komponenten -> Windows Installer "Immer mit erhöhten Rechten installieren" (bei computer und benutzer) bin gerade am testen. sieht aber erstmal gut aus. danke trotzdem für die tipps. gruss ben Zitieren
rzeh 10 Geschrieben 19. Januar 2006 Melden Geschrieben 19. Januar 2006 Hallo, mit erhöten rechten klappt zumindest nicht mit office zusammen. wenn du word, excel etc. über ein packet bereit stellst funzt die installation nicht. da kommt wieder die meldung wie oben beschrieben. das mit dem script hört sich doch prima an. mfg. rzeh Zitieren
Hirgelzwift 10 Geschrieben 19. Januar 2006 Melden Geschrieben 19. Januar 2006 Wenn ich das richtig lese gilt der Key nur wenn die SW vorher für den Computer / dem Benutzer veröffentlicht bzw. zugewiesen wurde. Ausserdem gibt es ja auch noch SW die den Windows Installer nicht verwendet (immer noch). Pakete wie Office könnte man ja auch über GPO zuweisen da raucht man den Key dann gar nicht. Zitieren
madben 10 Geschrieben 24. Januar 2006 Autor Melden Geschrieben 24. Januar 2006 nein. das stimmt so nicht ganz. das bezieht sich nicht auf zugewiesene software. dieses recht tritt erst in kraft, wenn die kombination der berechtigung für rechner und user gesetzt ist. so ist es bei uns in der testumgebung auch umgesetzt und funktioniert bis jetzt gut. hat noch gar nichts mit zugewiesener software zu tun. es muss also auf dem zielrechner (computersetting) und für den installierenden user (usersetting) dieses recht per GPO gesetzt sein. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.