5
Domainadministrator als lokaler Administrator
Hallo
Ich habe eine Server 2008R2 als DC. Dort ist ein Benutzer welcher in der Gruppe der Domainadmins ist.
Ein zweiter Server 2008R2 als Mitglied ist in der Domäne. Wenn ich mich dort als der Benutzer mit den Domainenadminrechten anmelde bin ich nicht lokaler Admin.
Das selbe Szenario mit Windows 7 funktioniert (Das heißt, dort bin ich lokaler Admin)
Wiso funktioniert das nicht auf einer Server 2008R2 Kiste.
Wie kann ich einen User (auf dem DC) direkt auf nur einem PC zu lokalen Admin machen. (unter SBS2008 ging das Problemlos mit der SBS Konsole)
mfg
Champ
Ich habe eine Server 2008R2 als DC. Dort ist ein Benutzer welcher in der Gruppe der Domainadmins ist.
Ein zweiter Server 2008R2 als Mitglied ist in der Domäne. Wenn ich mich dort als der Benutzer mit den Domainenadminrechten anmelde bin ich nicht lokaler Admin.
Das selbe Szenario mit Windows 7 funktioniert (Das heißt, dort bin ich lokaler Admin)
Wiso funktioniert das nicht auf einer Server 2008R2 Kiste.
Wie kann ich einen User (auf dem DC) direkt auf nur einem PC zu lokalen Admin machen. (unter SBS2008 ging das Problemlos mit der SBS Konsole)
mfg
Champ
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213039
Url: https://administrator.de/contentid/213039
Printed on: April 20, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hallo,
Die Domänen-Admins werden i.A. über ein GPO zu lokalen Admins gemacht.
Wurde gerade unter Domänen Admin kann nicht installieren diskutiert.
Grüße
Filipp
Die Domänen-Admins werden i.A. über ein GPO zu lokalen Admins gemacht.
Wurde gerade unter Domänen Admin kann nicht installieren diskutiert.
Grüße
Filipp
Moin filippg,
ich habe gerade nochmals nachgesehen, bei uns ist in der lokalen Administratorgruppe automatisch schon die Domänen-Admins eingetragen. Ich habe auch nochmals mit rsop.msc nachgesehen, ob eine GPO dafür verantwortlich ist - nein.
Grüße,
Dani
ich habe gerade nochmals nachgesehen, bei uns ist in der lokalen Administratorgruppe automatisch schon die Domänen-Admins eingetragen. Ich habe auch nochmals mit rsop.msc nachgesehen, ob eine GPO dafür verantwortlich ist - nein.
Grüße,
Dani
Hallo
Wie gesagt ... unter Win7 ist das auch so. Anmeldung als User welcher Domainadmin ist = auch lokaler Admin
Nur bei Anmeldung an einem zweiten Server 2008 R2 (Server ist nur Domänenmitglied), mit dem Benutzer welcher Domainenadmin ist, bin ich an dem Server 2008 R2 kein lokaler Admin.
Ist das Verhalten so gewollt !!!
zweites Problem (wie schon geschrieben):
Wie kann ich einen User (auf dem DC) direkt auf nur einem PC zu lokalen Admin machen. (unter SBS2008 ging das Problemlos mit der SBS Konsole)
cu
Champ
Wie gesagt ... unter Win7 ist das auch so. Anmeldung als User welcher Domainadmin ist = auch lokaler Admin
Nur bei Anmeldung an einem zweiten Server 2008 R2 (Server ist nur Domänenmitglied), mit dem Benutzer welcher Domainenadmin ist, bin ich an dem Server 2008 R2 kein lokaler Admin.
Ist das Verhalten so gewollt !!!
zweites Problem (wie schon geschrieben):
Wie kann ich einen User (auf dem DC) direkt auf nur einem PC zu lokalen Admin machen. (unter SBS2008 ging das Problemlos mit der SBS Konsole)
cu
Champ
Ist das Verhalten so gewollt !!!
Ich sage: Nein ist es nicht. Du kannst es in einer Testumgebung mit vServer nachbilden... du könntest jetzt manuell die Domänen-Admins in die lokale Administratorengruppe aufnehmen.Wie kann ich einen User (auf dem DC) direkt auf nur einem PC zu lokalen Admin machen. (unter SBS2008 ging das Problemlos mit der SBS Konsole)
Mithilfe von GPOs ist dies möglich (Stichwort: Eigeschränke Gruppen). Hängt natürlich von deiner AD-Struktur ab. Es lässt sich keine allgemeine Aussage treffen, was bei dir funktioniert.Grüße,
Dani
Hi,
sobald Du einen Server / Client zur Domäne hinzufügst, wird die Gruppe "Domänen-Admins" automatisch Mitglied der lokalen Gruppe "Administratoren".
Möchtest Du einen bestimmten Benutzer (der nicht Domänen-Admin ist und auch nicht sein soll) zum lokalen Admin eines Servers/Clients machen, dann öffnen die Eigenschaften der lokalen Gruppe "Administratoren" und suche das entsprechende Objekt und mache es zum Mitglied der Gruppe.
Kleine Design-Empfehlung:
- Erstelle eine domänenlokale Gruppe namens "[SERVERNAME]_lokale_administatoren"
- Nimme diese Gruppe auf in die lokale Gruppe der "Administratoren"
- Nun verwalte die Mitglieder der domänenlokalen Gruppe auf dem DC und so kannst Du künftig sehr bequem und nachvollziehbar Login-Rechte im AD verwalten. Auch ist es s möglich, später nachzuvollziehen, welcher User sich wo einloggen darf.
Grüße
Ben.
PS: Auf einem DC gibt es keine lokale Gruppen und Benutzer
sobald Du einen Server / Client zur Domäne hinzufügst, wird die Gruppe "Domänen-Admins" automatisch Mitglied der lokalen Gruppe "Administratoren".
Möchtest Du einen bestimmten Benutzer (der nicht Domänen-Admin ist und auch nicht sein soll) zum lokalen Admin eines Servers/Clients machen, dann öffnen die Eigenschaften der lokalen Gruppe "Administratoren" und suche das entsprechende Objekt und mache es zum Mitglied der Gruppe.
Kleine Design-Empfehlung:
- Erstelle eine domänenlokale Gruppe namens "[SERVERNAME]_lokale_administatoren"
- Nimme diese Gruppe auf in die lokale Gruppe der "Administratoren"
- Nun verwalte die Mitglieder der domänenlokalen Gruppe auf dem DC und so kannst Du künftig sehr bequem und nachvollziehbar Login-Rechte im AD verwalten. Auch ist es s möglich, später nachzuvollziehen, welcher User sich wo einloggen darf.
Grüße
Ben.
PS: Auf einem DC gibt es keine lokale Gruppen und Benutzer
1
