7
Zusätzlicher Administrator Account für Software Installation
Hallo zusammen.
Ich möchte in unserer Domäne einen zusätzlichen Administrator Account anlegen, der nur auf den Clients Administratorrechte hat, um z.B. neue Software zu installieren oder irgendwelche Software probleme zu lösen, die Administratorrechte erfordern. Darum meine Frage, wie stelle ich das am besten an das der neue "Administrator Account" automatisch zur Admin-Gruppe der lokalen Benutzer hinzugefügt wird (GPO denke ich mal).
Alles bedfindet sich in einer Windows 2008 Domänenstruktur, und Clients sind fast ausschließlich Win XP.
Danke und Gruß
Xearo
Alles bedfindet sich in einer Windows 2008 Domänenstruktur, und Clients sind fast ausschließlich Win XP.
Danke und Gruß
Xearo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108888
Url: https://administrator.de/contentid/108888
Printed on: April 26, 2024 at 23:04 o'clock
7 Comments
Latest comment
Moin Moin
Ich würde so vorgehen:
Du legst in deiner Domäne eine Neue Gruppe (z.B. lokal Admins) an.
Dann lässt du eine GPO auf die Clients los in der du unter
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Eingeschränkte Gruppen
deine Administratoren einträgst und als Mitglider Deine Neue Gruppe festlegst und (ganz wichtig !!) alle Gruppen/Benutzer die sonst noch lokale Adminrechte benötigen. Also Domänen-Admins, usw.
Diese GPO ersetzt nämlich alle Mitglieder mit deinen Einstellungen.
Gruß L.
Ich würde so vorgehen:
Du legst in deiner Domäne eine Neue Gruppe (z.B. lokal Admins) an.
Dann lässt du eine GPO auf die Clients los in der du unter
Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Eingeschränkte Gruppen
deine Administratoren einträgst und als Mitglider Deine Neue Gruppe festlegst und (ganz wichtig !!) alle Gruppen/Benutzer die sonst noch lokale Adminrechte benötigen. Also Domänen-Admins, usw.
Diese GPO ersetzt nämlich alle Mitglieder mit deinen Einstellungen.
Gruß L.
Hi!
Danke für deine Hilfe.
Habe das jetzt mal so gemacht wie du es beschrieben hast und getestet. Nur auf den Testpc hat sich unter der Benutzer und Gruppenverwaltung nichts geändert. Habe halt eine GPO in einer OU erstellt und einen Computer in diese OU verschoben, auf dem die GPO angewendet werden soll.
Hast du nochn Tip für mich, oder was ich möglicherweise falsch gemacht habe?
Danke für deine Hilfe.
Habe das jetzt mal so gemacht wie du es beschrieben hast und getestet. Nur auf den Testpc hat sich unter der Benutzer und Gruppenverwaltung nichts geändert. Habe halt eine GPO in einer OU erstellt und einen Computer in diese OU verschoben, auf dem die GPO angewendet werden soll.
Hast du nochn Tip für mich, oder was ich möglicherweise falsch gemacht habe?
Moin Moin
Hast Du den PC mal gebootet oder gpupdate /force ausgeführt?
Was gibt gpresult aus?
Gruß L.
Hast Du den PC mal gebootet oder gpupdate /force ausgeführt?
Was gibt gpresult aus?
Gruß L.
Mahlzeit!
Habe mich heute nochmal erfolgreich dran gesetzt. Hier die Anleitung hat mir da auch weitergeholfen
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Und nochmal Danke für deine Hilfe.
Habe mich heute nochmal erfolgreich dran gesetzt. Hier die Anleitung hat mir da auch weitergeholfen
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
Und nochmal Danke für deine Hilfe.
Moin Moin
Hätte da nochmal eine Frage. Es gibt einige "normale" Benutzer, die haben auf Ihren Notebooks Admin Rechte. Die sind natürlich weg, wenn ich diese GPO aktiviere. Wie bekomm ich es denn möglichst elegant hin, dass die ihre Berechtigungen behalten.
Gruß
Xearo
Edit:
Ich denke das hat sich auch schon erledigt.
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Hätte da nochmal eine Frage. Es gibt einige "normale" Benutzer, die haben auf Ihren Notebooks Admin Rechte. Die sind natürlich weg, wenn ich diese GPO aktiviere. Wie bekomm ich es denn möglichst elegant hin, dass die ihre Berechtigungen behalten.
Gruß
Xearo
Edit:
Ich denke das hat sich auch schon erledigt.
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Moin
Lege 3 Gruppen an:
- DesktopPCs
- Notebooks
- Notbookuser
Richte deine GPO so ein das diese nur auf die Gruppe der DesktopPCs wirkt.
Richte eine 2 GPO ein die die Notbookuser zu lokalen Administratoren macht und lasse diese GPO nur auf die Gruppe Notbooks los.
Damit sind dann aber alle Notbookuser lokale Administratoren auf allen Notebooks!
Ist das nicht gewünscht, kannst du entweder pro NB eine eigene GPO erstellen oder aber die übernahme der 1. GPO für die Gruppe der Notebooks verweigern und diese von Hand "behandeln".
Gruß L.
Wie bekomm ich es denn möglichst elegant hin, dass die ihre Berechtigungen behalten.
Du kannst und solltest GPOs auf Gruppen anwenden.Lege 3 Gruppen an:
- DesktopPCs
- Notebooks
- Notbookuser
Richte deine GPO so ein das diese nur auf die Gruppe der DesktopPCs wirkt.
Richte eine 2 GPO ein die die Notbookuser zu lokalen Administratoren macht und lasse diese GPO nur auf die Gruppe Notbooks los.
Damit sind dann aber alle Notbookuser lokale Administratoren auf allen Notebooks!
Ist das nicht gewünscht, kannst du entweder pro NB eine eigene GPO erstellen oder aber die übernahme der 1. GPO für die Gruppe der Notebooks verweigern und diese von Hand "behandeln".
Gruß L.
Hi!
Ich kann hier leider nicht alles in diesem bestehenden netzwerk umkrempeln. Aber vielen Dank für deine Hilfe. Wie gesagt habe jetzt das, was ich wollte, mit dem "3.Beispiel" von diesem Link gelöst bekommen.
PS: Es ist auch so, dass jeder Benutzer nur auf seinem eigenen Notebook adminrechte haben darf. (Normal sollte kein Benutzer adminrechte auf irgendeiner Maschine haben)
Gruß
Xearo
Ich kann hier leider nicht alles in diesem bestehenden netzwerk umkrempeln. Aber vielen Dank für deine Hilfe. Wie gesagt habe jetzt das, was ich wollte, mit dem "3.Beispiel" von diesem Link gelöst bekommen.
PS: Es ist auch so, dass jeder Benutzer nur auf seinem eigenen Notebook adminrechte haben darf. (Normal sollte kein Benutzer adminrechte auf irgendeiner Maschine haben)
Gruß
Xearo