14
Active Directory User Berechtigungen für einen Server auf Admin Rechte anheben
Hallo!
ich möchte einigen Benutzern aus dem Active Directory Admin Rechte für nur einen Server geben. Und zwar ist das bei uns der Terminal Server.
Normalerweise hat die Gruppe Benutzer nur normale Benutzer Rechte, jedoch sollen Sie für diesen einen Server Admin Rechte haben.
Lässt sich das einrichten? Wenn ja, wie?
Gruss,
Stefan
ich möchte einigen Benutzern aus dem Active Directory Admin Rechte für nur einen Server geben. Und zwar ist das bei uns der Terminal Server.
Normalerweise hat die Gruppe Benutzer nur normale Benutzer Rechte, jedoch sollen Sie für diesen einen Server Admin Rechte haben.
Lässt sich das einrichten? Wenn ja, wie?
Gruss,
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42447
Url: https://administrator.de/contentid/42447
Printed on: April 24, 2024 at 09:04 o'clock
14 Comments
Latest comment
Warum will man sowas?
Auf einem Terminalserver Adminrechte für User vergeben?
Aber egal wie und warum, wenn man jemanden auf einem einzelnen Rechner Adminrechte geben will, reicht meist die Berechtigungsvergabe "Vollzugriff" auf allen Registryzweigen und den Systemordnern. (Sytem32 und so)
Ich hatte mal ein Problem mit Lexware Lohn und Gehalt. Das läuft echt nicht ohne Adminrechte. Sagt auch die Hotline, wenn man da jemanden erreicht. Schlau Programmiert! Da ich meinen Usern hier keine Adminrechte gebe, konnte ich das wie oben beschrieben lösen.
Gruß,
Brandse
Auf einem Terminalserver Adminrechte für User vergeben?
Aber egal wie und warum, wenn man jemanden auf einem einzelnen Rechner Adminrechte geben will, reicht meist die Berechtigungsvergabe "Vollzugriff" auf allen Registryzweigen und den Systemordnern. (Sytem32 und so)
Ich hatte mal ein Problem mit Lexware Lohn und Gehalt. Das läuft echt nicht ohne Adminrechte. Sagt auch die Hotline, wenn man da jemanden erreicht. Schlau Programmiert! Da ich meinen Usern hier keine Adminrechte gebe, konnte ich das wie oben beschrieben lösen.
Gruß,
Brandse
Danke erstmal !
leider reicht das nicht. Es gibt zwei Applikationen die im Admin Modus ausgeführt werden müssen. Daher brauche ich "richtige" Admin Rechte auf dem Terminal Server.
leider reicht das nicht. Es gibt zwei Applikationen die im Admin Modus ausgeführt werden müssen. Daher brauche ich "richtige" Admin Rechte auf dem Terminal Server.
was sind denn "echte" Adminrechte?
Ich denke mal, das Deine SW mit meiner Variante laufen sollte, ausser Du musst User anlegen/löschen lassen...
Oder hast Du schon mal über Runas nachgedacht?
Kleine Batch, per Runas startest Du Deine Anwendung in einem anderen Userkontext, dieser User hat lokale Adminrechte....
Gruß,
Brandse
Ich denke mal, das Deine SW mit meiner Variante laufen sollte, ausser Du musst User anlegen/löschen lassen...
Oder hast Du schon mal über Runas nachgedacht?
Kleine Batch, per Runas startest Du Deine Anwendung in einem anderen Userkontext, dieser User hat lokale Adminrechte....
Gruß,
Brandse
Ich möchte nix tricksen usw.
Ich will einfach nur wissen, ob man einer Gruppe Admin Rechte für einen Server geben kann:
Das man Runas oder sonst irgendwas nutzen kann, weiss ich auch.
Ich will einfach nur wissen, ob man einer Gruppe Admin Rechte für einen Server geben kann:
Das man Runas oder sonst irgendwas nutzen kann, weiss ich auch.
Hallo,
Als Admin konfrontiert man sich oft mit diesem Problem, nur wenn man immer die einfachste Lösung nimmt (Adminrechte vergeben) rächt sich das irgendwann.
Besonderes ein Terminalserver sollte gut geschützt werden, denn das sind die Server indem die Benutzer sich direkt anmelden und Arbeiten.
Ich bevozuge immer die Analysemethode: Welche Zugriffe braucht die Anwendung, Registry, Dateien. Für diese Dateien oder Registrykeys würde ich dann die Berechtigungen ändern, meist reicht es ein "Ändernrecht".
Wenn man aber trotzdem (Um deine Bitte zu entsprechen) Adminrechte geben will dann sollte man so vorgehen.
1. Eine Domänen Sicherheitsgruppe erstellen und die Benutzer die diese Rechte haben sollten darin einfügen.
2. Eine OU Erstellen und den oder die Terminalserver darin einfügen
3. Eine Gruppenrichtlinie auf diese OU Verknüpfen (oder direkt erstellen) in der die Eingeschränkte Gruppen definiert sind
Wie man die Eingeschränkte Gruppen richtig definiert ist hier zu lesen:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...
Aber wie ich am anfang sagte, besonderes den Terminaldienste Benutzern würde ich keine Adminrechte erteilen.
Grüße
Dedinca
Als Admin konfrontiert man sich oft mit diesem Problem, nur wenn man immer die einfachste Lösung nimmt (Adminrechte vergeben) rächt sich das irgendwann.
Besonderes ein Terminalserver sollte gut geschützt werden, denn das sind die Server indem die Benutzer sich direkt anmelden und Arbeiten.
Ich bevozuge immer die Analysemethode: Welche Zugriffe braucht die Anwendung, Registry, Dateien. Für diese Dateien oder Registrykeys würde ich dann die Berechtigungen ändern, meist reicht es ein "Ändernrecht".
Wenn man aber trotzdem (Um deine Bitte zu entsprechen) Adminrechte geben will dann sollte man so vorgehen.
1. Eine Domänen Sicherheitsgruppe erstellen und die Benutzer die diese Rechte haben sollten darin einfügen.
2. Eine OU Erstellen und den oder die Terminalserver darin einfügen
3. Eine Gruppenrichtlinie auf diese OU Verknüpfen (oder direkt erstellen) in der die Eingeschränkte Gruppen definiert sind
Wie man die Eingeschränkte Gruppen richtig definiert ist hier zu lesen:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...
Aber wie ich am anfang sagte, besonderes den Terminaldienste Benutzern würde ich keine Adminrechte erteilen.
Grüße
Dedinca
google mal nach "Local Admin Manager" (mit Gänsefüschen!)
Vielleicht wäre das eine Lösung für dich?
Vielleicht wäre das eine Lösung für dich?
schmeiß den User/die Gruppe in die (lokale) Gruppe der Administratoren auf dem TS und gut ist.
schmeiß den User/die Gruppe in die
(lokale) Gruppe der Administratoren auf dem
TS und gut ist.
(lokale) Gruppe der Administratoren auf dem
TS und gut ist.
...bis jemand den Server runterfährt... Oder wichtige Einstellungen ändert.
Ein User sollte NIEMALS Adminrechte besitzen. Erst Recht nicht auf einem Terminalserver...
Das ist alles andere als Professionell.
Alleine schon weil jeder dann in die Userprofile der anderen User reinsehen kann...
Datenschutz? Dann nicht mehr!
Ich habe bisher jede SW zum laufen bekommen, auch ohne Adminrechte bei den Usern.
Gruß,
Brandse
Bleibt alle mal ganz locker!
Der Terminalserver ist nur intern, und 2. sitzen hier nur IT Fachkräfte.
Es ist eh keine Dauerlösung... also Ruhig Blut
Der Terminalserver ist nur intern, und 2. sitzen hier nur IT Fachkräfte.
Es ist eh keine Dauerlösung... also Ruhig Blut
Ich habe bisher jede SW zum laufen bekommen,
auch ohne Adminrechte bei den Usern.
auch ohne Adminrechte bei den Usern.
und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?
Auf die Gefahren wurde ja oft genug hingewiesen, da muss ich nicht auch noch ins Horn blasen.
Die Lösung von Dedinca ist schön sauber eingerichtet, ich frage mich nur, ob das Know How zum umsetzen da ist. Vielleicht sind noch nicht mal die Voraussetzungen vom OS da.
Deswegen von mir eine einfache Lösung, die liecht umzusetzen und verstehen ist.
aber mach mal nen Vorschlag wie ich eine Software auf dem TS zum Laufen bekomme, die Userspezifische Einstellungen in einer Datei ablegt, die im Systemroot liegt und immer gleich heisst.
aber mach mal nen Vorschlag wie ich eine
Software auf dem TS zum Laufen bekomme, die
Userspezifische Einstellungen in einer Datei
ablegt, die im Systemroot liegt und immer
gleich heisst.
Software auf dem TS zum Laufen bekomme, die
Userspezifische Einstellungen in einer Datei
ablegt, die im Systemroot liegt und immer
gleich heisst.
Hallo,
Wenn man für den Terminaldienste Benutzer die Homeshare definiert (Terminaldienste homeshare), wird bei der Anmeldung des Benutzers auf sein Homeshare ein Ordner WINDOWS erstellt und gilt für sein Terminaldienste Session als Systemroot.
Wenn die Anwendung dann Benutzerbezogene Einstellungen vornimmt, werden diese im Homeshare des Benutzers gespeichert.
Diese lösung hat bei mir funktioniert, allerdings hat meine Anwendung dies glücklicherweise mitgemacht.
Gruß
Dedinca
und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?
Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....
Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....
Habe ich bereits beschrieben....
Und ein paar andere auch....
stimmt, ich hätte besser lesen sollen.
Ich hatte dir jetzt gute Ansätze unterstellt, aber deine Vorschläge geben den User über die HIntertür Adminrechte. Wenn man schon zusätzliche Rechte git, dann da wo es für die Applikation notwendig ist und nicht einfach überall. Regmon und Filemon von Sysinternals können da z.B. helfen.
zu deinem Runas Vorschlag: Könnte es seind, dass das Passwort in der Batch dann im Klartext steht?
Diese lösung hat bei mir funktioniert,
allerdings hat meine Anwendung dies
glücklicherweise mitgemacht.
allerdings hat meine Anwendung dies
glücklicherweise mitgemacht.
Die Applikation, die ich im Kopf habe nicht.
Aber ich wollte gar nicht die Lösung haben, sonder nur mal das "Ich habe noch jede SW ans laufen bekommen" hinterfragen.
