raffix 10 Geschrieben 14. März 2003 Melden Teilen Geschrieben 14. März 2003 Hi@all, hätte mal eine Frage, zu der ich bis jetzt noch keine Lösung gefunden habe. Gibt es eine Möglichkeit, einen Benutzer in einer Domäne so einzustellen, dass er im Netzwerk nur Benutzer-Rechte hat, lokal aber die vollen Admin-Rechte? Wenn ich dem Benutzer nämlich am Server Administrator-Rechte gebe, dann gilt das immer im ganzen Netzwerk. Wenn sich der Nutzer aber nur als lokaler Administrator an der Station anmeldet, kommt er nicht ins Netzwerk. Kann man nicht irgendwie beide Rechte vergeben. Sprich: lokal ist man Administrator, aber im Netzwerk bloß Benutzer? Nun, warum das alles, ganz einfach, die Leute sollen lokal alles, wirklich alles machen können, aber bitte schön, im Netzwerk natürlich nicht!!! Zitieren Link zu diesem Kommentar
Damian 1.533 Geschrieben 14. März 2003 Melden Teilen Geschrieben 14. März 2003 Natürlich geht das. ;) Du erstellst für den User ein lokales Konto und setzt ihn in die Gruppe der (lokalen) Admins. Dann darf er auf dem System alles. Und in der Domäne bekommt er das eingeschränkte Domänenkonto auf dem DC. Je nachdem, was er machen will, muss der User sich nur bei der Anmeldung (nach "Strg+Alt+Entf") entscheiden. Als Admin: lokal am Computer anmelden Als einfacher User: an der Domäne anmelden Damian Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 14. März 2003 Melden Teilen Geschrieben 14. März 2003 es geht auch so: Den Domänenbenutzer oder eine Gruppe der Domäne, in der der Benutzer Mitglied ist, auf dem lokalen PC zur Gruppe Administratoren hizufügen. klaus Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 14. März 2003 Melden Teilen Geschrieben 14. März 2003 imho ist eine lösung über gruppenzugehörigkeit zu favorisieren Zitieren Link zu diesem Kommentar
raffix 10 Geschrieben 14. März 2003 Autor Melden Teilen Geschrieben 14. März 2003 Die Idee von "klausk" ist eindeutig die bessere. Denn genau das will ja nicht, was "Damian" vorschlägt, das habe ich auch in meinem Teil geschrieben. Denn das weiß ich ja, mit zwei verschiedenen Konten, das ist ja keine Kunst. Nur einen Haken hat die Sache noch, man muss an jeden Rechner gehen und diese Änderung durchführen, lässt sich das auch zentralisieren? Zitieren Link zu diesem Kommentar
raffix 10 Geschrieben 14. März 2003 Autor Melden Teilen Geschrieben 14. März 2003 Original geschrieben von real_tarantoga imho ist eine lösung über gruppenzugehörigkeit zu favorisieren Hä??? Was ist imho? Gruppenzugehörigkeit zu favorisieren??? Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 14. März 2003 Melden Teilen Geschrieben 14. März 2003 :D 'tschuldigung, aber ich war etwas abgelenkt ;) was ich meine ist, dass du über die mitgliedschaft des users in speziellen lokalen bzw. globalen gruppen, steuern kannst, welche berechtigungen und rechte wirken. das ist zugegebenermassen komplex und vorher gut zu durchdenken, aber es zahlt sich aus, da du bei der änderung von mitgliedern (kollege x wird durch praktikantin y ersetzt :rolleyes: ) nicht dein konzept, sondern nur den user ändern musst: die mitgliedschaft in den gruppen bestimmt, was gilt und nicht das benutzerkonto! ps:imho = in my humble opinion (wäre schön, wenn grizzly999 jetzt vorbeischaut - der kann einfach besser erklären ;) ) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 14. März 2003 Melden Teilen Geschrieben 14. März 2003 Was real_tarantoga meint, ist, dass du nicht einen einzelnen Domänenbenutzer in die lokale Gruppe der Administratoren stecken solltest, sondern eine globale Gruppe. Muss ja nicht gleich die Gruppe Domänen-Benutzer sein, sondern du bastelst dir eine auf Domänenebene, z.B. DG-Lokal-Admin oder so ähnlich. In die kommt der oder kommen die Benutzer rein, die überall lokale Adminrechte haben sollen (aber eben keine Domänen-Admin Rechte). Diese domänenglobale Gruppe - und nicht den einzelnen User - machst du dann zum Mitglied in der loaklen Administratorengruppe auf jedem Client. Dann ist bei Änderungen wer das darf, dies wesentlich einfacher zu regeln. Einfach einen DomänenUser in der Domäne aus dieser neu geschaffenen Gruppe raus -> kann er nicht mehr administrieren. Einen anderen User in die Domänengruppe rein -> darf jetzt auch lokal administrieren. Hat nur einen kleinen Nachteil, und der kommt im folgenden Abschnitt: Eine interessante Frage ist die, wie man das macht, ohne jede lokale Benutzerdatenbank anfassen zu müssen. Das geht, so gar sehr differenziert, wenn es sein muss. Einfach in einer Gruppenrichtlinie an der Domäne oder einer/mehreren OU in der Computerkonfiguration/sciherheitseinstelleungen unter dem Menüpunkt "Eingeschränkte Gruppen" die Gruppe Administratoren hinzufügen und als Mitglied den oder die Benutzer, die in den lokalen Administratorengruppen Mitglied sein sollen hinzufügen. Das geht leide nur mit einzelnen Benutzern, nicht mit globalen Gruppen :-(( Nun kannst Du dir es aussuchen grizzly999 Zitieren Link zu diesem Kommentar
raffix 10 Geschrieben 14. März 2003 Autor Melden Teilen Geschrieben 14. März 2003 Super Anleitung, danke Grizzly999. Das werde ich morgen gleich umsetzen. Ich habe sogar schon eine globale Gruppe angelegt, die auf jeden Fall dieses Adminrecht haben muss. ;) Nochmals vielen Dank, auch für die sehr schnelle und ausführliche Antwort!!! :) Zitieren Link zu diesem Kommentar
unixduke 10 Geschrieben 12. Januar 2004 Melden Teilen Geschrieben 12. Januar 2004 ich hätte hierzu nochmal eine Frage: besteht auch die Möglichkeit, dass Domänenbenutzer die lokalen Adminrechte auch nur an bestimmten Rechnern erhalten? Praktisch eine zentrale verwaltungsstelle diesbezüglich. kann man das auch mit dem AD realisieren? --- Ich hoffe das geht hier nicht zu sehr ins Eingemachte, oder muss ich wirklich neue Klassen und Objekte im AD anlegen (Schemaerweiterung) und sie dann mit einer selbstprogammierten Maske zusammenklicken? hat da jemand einen Tip? grizzly vielleicht? Tx Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 12. Januar 2004 Melden Teilen Geschrieben 12. Januar 2004 aber sicher, du kannst den Befehl net localgroup "ZIELGRUPPE" "BENUTZER" dazu verwenden. Ich würde dazu unter deiner OU, die alle deine Rechner hält, eine weitere OU machen, und mittels GPO ein Script erstellen, welches ausgeführt wird, wenn der Rechner gestartet wird (Computerconfiguration -> Windows-Einstellungen -> Scripts -> Starten) Dann schiebst du die betreffenden Rechner in diese OU ein, und wartest, bis diese entweder hochgefahren werden, oder das GPO Update läuft. Dieser Trick funktioniert recht einfach, wenn es immer die gleichen User sind, die kannst du dann in eine Gruppe zusammenfassen, ansonsten musst du ein wenig "zaubern" wer welchen script auf welchen Rechner läuft. Wir haben so ein Script laufen, weil wir ein paar Poweruser mit Adminrechten auf dem lokalen Rechner (ganz oben, cheffe) haben, die ab und zu die Domänenadmingruppe von den lokalen Admingruppe "entfernen". Mit diesen Script wird die Admingruppe spätestens beim Update wieder hinzugefügt :-) Gruß Dejan Zitieren Link zu diesem Kommentar
donald 10 Geschrieben 3. Februar 2004 Melden Teilen Geschrieben 3. Februar 2004 Original geschrieben von grizzly999 Was real_tarantoga meint, ist, dass du nicht einen einzelnen Domänenbenutzer in die lokale Gruppe der Administratoren stecken solltest, sondern eine globale Gruppe. Muss ja nicht gleich die Gruppe Domänen-Benutzer sein, sondern du bastelst dir eine auf Domänenebene, z.B. DG-Lokal-Admin oder so ähnlich. In die kommt der oder kommen die Benutzer rein, die überall lokale Adminrechte haben sollen (aber eben keine Domänen-Admin Rechte). Diese domänenglobale Gruppe - und nicht den einzelnen User - machst du dann zum Mitglied in der loaklen Administratorengruppe auf jedem Client. Dann ist bei Änderungen wer das darf, dies wesentlich einfacher zu regeln. Einfach einen DomänenUser in der Domäne aus dieser neu geschaffenen Gruppe raus -> kann er nicht mehr administrieren. Einen anderen User in die Domänengruppe rein -> darf jetzt auch lokal administrieren. Hat nur einen kleinen Nachteil, und der kommt im folgenden Abschnitt: Eine interessante Frage ist die, wie man das macht, ohne jede lokale Benutzerdatenbank anfassen zu müssen. Das geht, so gar sehr differenziert, wenn es sein muss. Einfach in einer Gruppenrichtlinie an der Domäne oder einer/mehreren OU in der Computerkonfiguration/sciherheitseinstelleungen unter dem Menüpunkt "Eingeschränkte Gruppen" die Gruppe Administratoren hinzufügen und als Mitglied den oder die Benutzer, die in den lokalen Administratorengruppen Mitglied sein sollen hinzufügen. Das geht leide nur mit einzelnen Benutzern, nicht mit globalen Gruppen :-(( Nun kannst Du dir es aussuchen grizzly999 Hallo grizzly999, mir würde Deine 1. Variante sehr zusagen, da Sie recht übersichtlich ist. Eine globale Gruppe "DG Lokale Administratoren" mit den entsprechenden Mitgliedern habe ich bereits angelegt. Nur beim Zufügen dieser Gruppe zur lokalen Gruppe Administratoren bei den Client-PC's (XP Pro) scheitere ich. Ich kann dort nur lokale Benutzer und Gruppen auswählen obwohl ich als Administrator an der Domäne angemeldet bin. Ich bekomme als Suchpfad nur den lokalen Client-PC zur Auswahl. Wie kann ich hier das System dazu bringen auch auf der Domäne nach Gruppen zu suchen? mfg Donald Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.