9
Installationsrechte an Benutzer zuweisen, ihn aber gleichzeitig nicht auf alle Ordner zugreifen lassen (lokale Administrationsrechte?)
Ich möchte in einer Windows Server 2016 Umgebung einem User erlauben, dass er Installationen auf den Client-PCs durchführen kann. Gleichzeitig solllen dem User aber keine umfassenden Administrationsrechte, wie zB Zugriff auf Ordner anfallen.
Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.
Beim System handelt es sich um Windows Server 2016.
Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.
Beim System handelt es sich um Windows Server 2016.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 364765
Url: https://administrator.de/contentid/364765
Printed on: April 23, 2024 at 17:04 o'clock
9 Comments
Latest comment
Hi,
E.
Ich möchte in einer Windows Server 2016 Umgebung einem User erlauben, dass er Installationen auf den Client-PCs durchführen kann.
Ihr habt auf den Clients Windows Server 2016 installiert?Gleichzeitig solllen dem User aber keine umfassenden Administrationsrechte, wie zB Zugriff auf Ordner anfallen.
Ordner auf dem Server (Freigaben) oder auf den Clients?Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.
Wenn es eine Domäne ist (wovon ich ausgehe), dann die Domänen-Konten (Nicht-Domänenadmins) auf den Clients zu lokalen Admins machen (Mitglieder der lokalen Gruppe "Administratoren")E.
Moin,
das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.
=> Das wird so nichts.
lg,
Slainte
das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.
=> Das wird so nichts.
lg,
Slainte
Was für eine sinnbefreite Frage.
Ein Benutzerkonto soll administrative Berechtigungen bekommen, aber nicht auf alle Ordner / Verzeichnisse zugreifen
dürfen.
Thema verfehlt - setzen 6.
Ein Benutzerkonto mit administrativer Berechtigung kann sich auf Grund seines Status Zugriff auf Objekte verschaffen.
Das ist per Design so. Entweder hat ein Benutzer die Berechtigungen, oder nicht.
Das was Du fragst geht NICHT. Und macht auf einem Server sowieso keinen Sinn.
Ich denke der befreundeten Administrator wird Dir das gleiche geantwortet haben.
P.S. Und die Diskussionsrichtlinien wurden auch mal wieder nicht angewendet.
Regel Nr. 1: Netiquette
Gruss Penny
Ein Benutzerkonto soll administrative Berechtigungen bekommen, aber nicht auf alle Ordner / Verzeichnisse zugreifen
dürfen.
Thema verfehlt - setzen 6.
Ein Benutzerkonto mit administrativer Berechtigung kann sich auf Grund seines Status Zugriff auf Objekte verschaffen.
Das ist per Design so. Entweder hat ein Benutzer die Berechtigungen, oder nicht.
Das was Du fragst geht NICHT. Und macht auf einem Server sowieso keinen Sinn.
Ich denke der befreundeten Administrator wird Dir das gleiche geantwortet haben.
P.S. Und die Diskussionsrichtlinien wurden auch mal wieder nicht angewendet.
Regel Nr. 1: Netiquette
Gruss Penny
@SlainteMhath
@Penny.Cilin
Ich denke, diese Frage ist nicht sinnfrei, eher der Fragesteller Laie. Also Nachsicht. Ein Bisschen Empathie ...
@Penny.Cilin
Ich denke, diese Frage ist nicht sinnfrei, eher der Fragesteller Laie. Also Nachsicht. Ein Bisschen Empathie ...
2
Hallo.
ich denke, den Server 2016 hast Du nur der Vollständigkeit halber genannt, um klarzumachen, daß auf diesem eine Domäne residiert und der vielleicht auch noch Fileserver ist.
Du kannst den User auf den Clients zum lokalen Admin machen (lokale Benutzerverwaltung). Dann kann er lokal Programme installieren. Der lokale Admin macht ihn nicht zum Domänen-Admin, somit sind Ordner/Verzeichnisse/Dateien auf Deinem Server nicht in Gefahr, sofern Du bei diesen die Berechtigungen, sowohl auf Share- als auch auf Dateisystemebene (NTFS) entsprechend im Griff (über Berechtigungseinstellungen geschützt) hast.
Ohne Dich ärgern zu wollen, doch es kommt mir so vor, als würdest Du selbst schon nicht richtig verstehen, wie die ganzen Zusammenhänge sind (Deine Frage/Fragestellung sagt mir das), und da willst Du einem, der noch weniger von der Materie versteht, Administrationsrechte (wenn auch nur lokal) zugestehen?
Ich wäre da lieber vorsichtig.
Viele Grüße
von
departure69
ich denke, den Server 2016 hast Du nur der Vollständigkeit halber genannt, um klarzumachen, daß auf diesem eine Domäne residiert und der vielleicht auch noch Fileserver ist.
Du kannst den User auf den Clients zum lokalen Admin machen (lokale Benutzerverwaltung). Dann kann er lokal Programme installieren. Der lokale Admin macht ihn nicht zum Domänen-Admin, somit sind Ordner/Verzeichnisse/Dateien auf Deinem Server nicht in Gefahr, sofern Du bei diesen die Berechtigungen, sowohl auf Share- als auch auf Dateisystemebene (NTFS) entsprechend im Griff (über Berechtigungseinstellungen geschützt) hast.
Ohne Dich ärgern zu wollen, doch es kommt mir so vor, als würdest Du selbst schon nicht richtig verstehen, wie die ganzen Zusammenhänge sind (Deine Frage/Fragestellung sagt mir das), und da willst Du einem, der noch weniger von der Materie versteht, Administrationsrechte (wenn auch nur lokal) zugestehen?
Ich wäre da lieber vorsichtig.
Viele Grüße
von
departure69
Also es gibt Clients auf denen Windows 7 installiert ist. Dort möchte ich Software installieren können.
Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre. Geht es nicht auch, dass man einen Nutzer die lokalen Installationsmöglichkeiten überlässt, aber eben keine umfassenden Administrator-Berechtigungen?
Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre. Geht es nicht auch, dass man einen Nutzer die lokalen Installationsmöglichkeiten überlässt, aber eben keine umfassenden Administrator-Berechtigungen?
Nein das geht nicht (wie schon beschrieben).
Innerhalb der Domäne macht man das per GPO oder Startupscipts (Installationen) und WSUS (Updates). Dazu braucht kein User irgendwelche Sonderrechte.
Innerhalb der Domäne macht man das per GPO oder Startupscipts (Installationen) und WSUS (Updates). Dazu braucht kein User irgendwelche Sonderrechte.
Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre.
Derjenige, der Dir da vorschwebt, soll sich dabei ja auch nicht als lokaler Admin mit einem lokalen Konto anmelden, sondern durchaus mit seinem (in der Domäne eingeschränkten) Domänenkonto. Und das geht, indem Du auf jedem PC, um den es Dir geht, den User, um den es Dir geht, mit seinem Domänenkonto in die lokale Gruppe der Administratoren aufnimmst, keine Sorge, er wird dadurch nicht zum Domänen-Admin:
Im letzten Screenshot ist als Suchpfad natürlich die Domäne zu verwenden!
Viele Grüße
von
departure69
1
Moin,
*klug###er-mode on* Das ist nicht richtig. Es ist durchaus ohne Probleme möglich als Benutzer Programme zu installieren ohne auch nur einen dieser Bereiche anzufassen. Allerdings sind die meisten Installer nicht dafür konzipiert, von daher ist es oft nur eine theoretische Möglichkeit.
Die hierfür vorgesehenen Verzeichnisse befinden sich in "%localappdata%". Natürlich sind diese dann nur im Benutzerkontext installiert, aber installiert sind sie. Übrigens auch ein Grund warum es extra eine GPO gibt, die das Aufrufen von Installern verhindert/-n will.
*klug###er-mode off*
Aber alles in allem, stimme ich dir zu ^^ In der Regel braucht man durchaus umfassende Rechte um was vernünftig installieren zu können.
Gruß
Chris
Zitat von @SlainteMhath:
das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.
=> Das wird so nichts.
das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.
=> Das wird so nichts.
*klug###er-mode on* Das ist nicht richtig. Es ist durchaus ohne Probleme möglich als Benutzer Programme zu installieren ohne auch nur einen dieser Bereiche anzufassen. Allerdings sind die meisten Installer nicht dafür konzipiert, von daher ist es oft nur eine theoretische Möglichkeit.
Die hierfür vorgesehenen Verzeichnisse befinden sich in "%localappdata%". Natürlich sind diese dann nur im Benutzerkontext installiert, aber installiert sind sie. Übrigens auch ein Grund warum es extra eine GPO gibt, die das Aufrufen von Installern verhindert/-n will.
*klug###er-mode off*
Aber alles in allem, stimme ich dir zu ^^ In der Regel braucht man durchaus umfassende Rechte um was vernünftig installieren zu können.
Gruß
Chris
