schimpy
Goto Top

Win - Gruppenrichtlinien - Einschränkungen

Problem - Administratoren dürfen alles essen aber nicht alles machen

Hallo,

ich bin einer der Netzwerkadministratoren in einem Verbund von ca. 200 Rechnern.
Wir teilen uns den ganzen Kram mit zwei Supportern, die beiden sind dafür da, die Rechner bei den Nutzern hinzustellen, aufzubauen, in die Domäne zubringen und evtl kleinere Fehler zu beheben. Oder zB auch Software nach zu installieren.

Wir Netzwerkadministratoren kümmern uns halt ums Netzwerk, dass jeder seinen Benutzernamen bekommt, Gruppenrichtlinien etc.

bisher haben wir ohne OU's etc. gearbeitet

nun hätten wir gerne eine Gruppenrichtlinie die es uns Administratoren zB erlaubt im Active Directory rumzubasteln oder Neue Nutzer anzulegen etc. und den Supportern jenes verbietet...
allerdings brauchen Sie ja Adminrechte um zB Software zu installieren...

kann mir jemand helfen?

Danke schonmal für Ideen / Denkanstöße

Gruß Jörg

Content-Key: 47844

Url: https://administrator.de/contentid/47844

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: geTuemII
geTuemII 03.01.2007 um 14:55:24 Uhr
Goto Top
Dazu brauchst du nicht zwingend eine neue OU.

1. Der Einfachheit halber eine Sicherheitsgruppe Supporter einrichten und konfigurieren.

2. GPO --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Hinzufügen von Arbeitsstationen zur Domain --> Supporter hinzufügen

3. GPO --> Compuerkonfiguration --> Eingeschränkte Gruppen --> rechte Maus --> Gruppe hinzufügen --> Administratoren --> Vorsicht! Alle normal auf den Rechnern vorhandenen Mitglieder der Administratoren-Gruppe eintragen, da die Richtlinie den lokalen Eintrag der Rechner überschreibt. Und natürlich die Supporter nicht vergesssen.

geTuemII
Mitglied: Schimpy
Schimpy 04.01.2007 um 06:46:31 Uhr
Goto Top
hallo,

danke erstmal für die Antwort

aber ich seh da irgendwie noch Probleme, oder ich verstehe es nicht richtig...

zu 1) gute Idee ;)

zu 2) die "Supporter" sind Benutzer, dh. eine Computerkonfig. würde mir garnichts bringen, da ich ja dann die Richtlinien auf den jeweiligen Computern einschränke und nicht von diesen beiden "Benutzern/Supportern" wenn ich zB Ihren PC hinzufüge, dann könnten sie die vollen Rechte an nem anderen Computer der nicht in der OU/Sicherheitsgruppe ist nutzen. Oder geht es auch wenn ich Benutzer in diese OU/SichGruppe einfüge, gelten dann auch die Rechte?!?!

zu 3) Eingeschränkte Gruppen hab ich verstanden, das mit den lokalen Rechten ist auch kein Ding, aber wo steht was die Mitglieder der "Eingeschränkten Gruppe" können oder auch nicht können? face-smile

Vielen Dank

Gruß Jörg
Mitglied: geTuemII
geTuemII 04.01.2007 um 15:44:43 Uhr
Goto Top
Hallo Schimpy,

also das Ganze nochmal langsam von Anfang an:

zu 1. Deine Support-Mitarbeiter sind Mitglied der SecGroup Benutzer (Domain-User). Sie haben keinerlei administrative Rechte, schon gar keine Rechte der Domain-Admins. Sie können also keine Clients administrieren bzw. der Domain hinzufügen. Erstelle eine SecGroup Supporter und für diejenigen Benutzer, die Support-Rechte erhalten sollen, diese Gruppe hinzu.

zu 2. Supporter sollen Clients der Domain hinzufügen können. Durch die oben genannten Einstellungen werden die Rechte der Support-Mitarbeiter nicht eingeschränkt, sondern erweitert. Sie haben ja "bis jetzt" keinerlei erweiterte Rechte, da sie Benutzer sind und für Supporter noch keine erweiterten Rechte definiert sind. Für welche Clients diese Rechte gelten, ist von dem Einsprungpukt abhängig, an den du die Policy verknüpfst. Damit haben wir die Anforderung, daß Supporter Clients in die Domain aufnehmen können, erfüllt.

zu 3. Mit den oben genannten Einstellungen fügst du Supporter den lokalen Administratoren des Clients hinzu. Damit haben sie auch alle Rechte der Administratoren auf dem Client, aber keine Admin-Rechte in der Domain. Auch hier ist entscheidend, wohin die Policy verknüpft wird. Supporter können also Software installieren und den Client administrieren, diese Anforderung ist also auch erfüllt.

Aber bitte nicht vergessen, die aktuell lokal vorhandenen Einträge mit in die Eingeschränkte Gruppe Administratoren aufzunehmen, sonst ist zb. der User Administrator am lokalen Rechner nicht mehr Mitglied der Gruppe Administratoren!

HTH geTuemII
Mitglied: Schimpy
Schimpy 04.01.2007 um 19:12:48 Uhr
Goto Top
klingt sehr gut face-smile

ich denke ich habs verstanden, werde das dann morgen früh mal ausprobieren!

wenns nicht klappt, komme ich auf dich zurück ;)

Vielen Dank für die Antwort

Gruß Schimpy