Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Domäne zu hause: lokale admin rechte auf eigenem pc: ja oder nein?

Mitglied: Pixi123

Pixi123 (Level 1) - Jetzt verbinden

12.06.2018 um 20:58 Uhr, 595 Aufrufe, 12 Kommentare

Hallo!
Ich habe seit einiger Zeit bei mir zuhause eine Windows Domäne (Server 2016 essentials) eingerichtet. Ich habe eine handvoll windows-clients in die Domäne (virtuelle und physische), und auf all diesen Clients verwende ich auch nur normale Domänen-user ohne lokale admin-Rechte (btw: ich habe keine server-gespeicherten Profile; also nur mit dem domänen user am PC angemeldet). Soweit so gut. Meinen Haupt-PC ist bis jetzt noch nicht in die Domäne aufgenommen, weil ich ihn neu aufsetzen will und einiges vorher aufzuräumen habe. Dieser PC wurde bisher mit einem lokalen Admin-Konto verwendet (das Konto, das beim Aufsetzen angelegt wird). Jetzt stellt sich mir folgende Frage: wenn ich diesen PC neu aufsetze und in die Domäne aufnehme:
Soll ich ab jetzt ganz normaler Standard-domänen-user sein oder mein domänen-konto zu den lokalen Administratoren hinzufügen? In meiner Firma gibts ein paar lokale admins, die so angelegt wurden, dass sich der domänen-admin-account am client angemeldet hat und in systemsteuerung-benutzer den domänen-user zur Gruppen der lokalen admins hinzugefügt hat. Soweit ich gelesen habe, ist es aber eleganter, das mit eingeschränkten Gruppen zu machen (muss noch genauer nachlesen, wie das geht).
Mir ist klar, dass lokale admin rechte ein Sicherheitsrisiko sind und ich will bei meiner domain eigentlich alles nach best practise machen, aber ich habe Bedenken, dass als standard user nicht mehr alles so läuft wie gewohnt. Damit meine ich, dass mir schon klar ist, dass ich dann bei jeder Software Installation Admin-user und pw eingeben muss, was OK wäre, aber auch einfache updates , zB Java sind doch ohne admin rechte nicht möglich und meine größte Befürchtung, dass vielleicht einige Programme ohne admin rechte gar nicht mehr richtig laufen.
Deswegen meine Frage an euch: wie handhabt ihr das bei euch zu Hause bei eurem eigenen user-account?
Wäre es vielleicht eine gute Idee, 2 domänen user anzulegen und 1 davon zum lokalen admin zu machen? Dann richte ich den PC mit diesem adminuser ein, fahre updates etc, und für den täglichen Gebrauch nehme nich den standard-user. Dabei stellt sich mir aber die Frage, wie ich es bewerkstelligen kann, dass diese beiden user die gleichen Programme haben (nicht jede Software bietet in der Installationsroutine eine Installation für alle Benutzer an). Ideal wäre Oberhaupt der gleiche desktop usw, also alles gleich bis auf die Rechte, aber das geht wohl nicht.
Ich bin euch super dankbar für eure Hilfe,
LG pixi
Mitglied: maretz
12.06.2018 um 21:49 Uhr
Moin,

ehrlich gesagt: Wenn du eh immer direkt das DA-Passwort reinhämmerst komme was will macht es keinen Unterschied... Ich würde empfehlen IMMER nur als normaler Benutzer zu arbeiten und nur bei Bedarf (zb. Software-installation) höhere Rechte. Das sorgt auch dafür das du eben nich mit nem falschen Klick alles zerlegst, Viren/sonstiger Rotz gleich im ganzen Netz ist UND das du ggf. 2x überlegst was du tust.
Bitte warten ..
Mitglied: certifiedit.net
12.06.2018 um 21:55 Uhr
Hallo,

egal, ob Heimdomäne oder Firma, egal ob "kleiner Mitarbeiter" oder Aufsichtsratvorsitzender. Die Arbeit erfolgt unter dem normalen Benutzeraccount mit stark auf die zu nutzende SW abgestimmte und eingeschränkte Rechte.

Alles andere macht aus Sicherheitstechnischer Sicht (Fehlereindämmung) keinen Sinn.

Dazu kommt: Bevor das Admin PW eingegeben wird, wird nachgedacht.


Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: Pixi123
12.06.2018 um 22:05 Uhr
Zitat von maretz:

Ich würde empfehlen IMMER nur als normaler Benutzer zu arbeiten und nur bei Bedarf (zb. Software-installation) höhere Rechte.

Meinst du mit " bei Bedarf höhere Rechte" die Eingabe des da-passworts (und benurzers) während man als standard-user angemeldet ist, oder die Verwendung eines eigenen admin-kontos?
Bitte warten ..
Mitglied: Pixi123
12.06.2018 um 22:07 Uhr
OK, ist klar. Also arbeitet du selbst auch, obwohl domänen-admin, im Alltag mit einem standard-benutzer-konto?
Bitte warten ..
Mitglied: Pixi123
12.06.2018 um 22:11 Uhr
Könnt ihrbauf die anderen Fragen auch noch eingehen bitte? Vor allem die Sache mit den 2 Benutzern ind den gleichen Programmen für beide Benutzer. Was haltet ihr davon? Ich meine, man könnte auch den domänen-admin dafür verwenden, aber sicherer wäre ein lokaler admin, weil der nur lokal admin-rechte hat.
Bitte warten ..
Mitglied: StefanKittel
13.06.2018 um 06:48 Uhr
Moin,

Du benötigst doch lokale Admin-Recht oder nicht und wir sprechen von Windows 10 als OS?
Dann verwende ein normales Domänenkonto und füge es zur Gruppe der lokalen Administratoren hinzu.

Stefan
Bitte warten ..
Mitglied: certifiedit.net
13.06.2018 um 07:12 Uhr
Ja
Zitat von Pixi123:

OK, ist klar. Also arbeitet du selbst auch, obwohl domänen-admin, im Alltag mit einem standard-benutzer-konto?
Bitte warten ..
Mitglied: certifiedit.net
13.06.2018 um 07:12 Uhr
Zitat von Pixi123:

Könnt ihrbauf die anderen Fragen auch noch eingehen bitte? Vor allem die Sache mit den 2 Benutzern ind den gleichen Programmen für beide Benutzer. Was haltet ihr davon? Ich meine, man könnte auch den domänen-admin dafür verwenden, aber sicherer wäre ein lokaler admin, weil der nur lokal admin-rechte hat.
Du arbeitest nur mit Software die nur normale rechte braucht. Wenn es Mal mehr sein sollte gibst du die Passwörter ein. Sonst bist du normaler Nutzer
Bitte warten ..
Mitglied: erikro
LÖSUNG 13.06.2018 um 08:26 Uhr
Moin,

1. Du brauchst keinen lokalen Admin mehr, wenn der Rechner erst einmal in der Domain ist. Du hast Domain-Admin-Rechte. Die sind höher als die des lokalen Admins und Du kannst mit diesen Rechten alles, was der lokale kann.

2. Es ist bei Todesstrafe ;) verboten, als Admin, ob nun lokal oder Domain-Admin, zu arbeiten. Wer das tut, kann auch gleich alle Firewalls und andere Sicherheitseinrichtungen abbauen. Die braucht er dann nämlich nicht mehr.

3. Wenn Programme nicht laufen, wenn Du keine Admin-Rechte hast, dann solltest Du sie durch andere Software, die auch unter eingeschränkten Usern funktioniert, ersetzen. Ich weiß, dass davon viele Spiele betroffen sind. Mit ein wenig Mühe kriegt man die aber auch zum Laufen. Meist liegt das daran, dass sie in Verzeichnisse unter "c:\program files" schreiben wollen. Die muss man nur herausfinden und entsprechend die Rechte setzen. Schon läuft das. Das habe ich früher bei meinem Sohn bei jedem Spiel gemacht und bei jedem ging es nach fünf Minuten bis zwei Stunden. ;)

Liebe Grüße

Erik
Bitte warten ..
Mitglied: departure69
LÖSUNG 13.06.2018 um 10:05 Uhr
Hallo.

Ob Deine Programme (oder bestimmte davon) nur mit Adminrechten laufen, mußt Du natürlich erstmal rausfinden.

Meiner Erfahrung nach ist das aber selten, und wenn, sehr ärgerlich, dem Programmierer/Hersteller gehört eigentlich eine Links-Rechts-Kombination .

Ansonsten:

Ja, auch Updates von regelmäßig zu aktualisierendem, systemnahen Popelkram wie Java RE sind Setups, für die Du Admin sein mußt.

Es ist Deine Entscheidung , hier aus Bequemlichkeit Deinen ansich eingeschränkten Domänenaccount auf Deinem Haupt-PC generell über die lokale Benutzerverwaltung zugleich auch zum lokalen Admin zu machen oder nicht.

Ich würde es nicht tun, sondern mich in diesen Fällen als Admin (Domäne oder lokal ist dann wurstegal) anmelden, die Aktualisierungsarbeiten erledigen (sooo oft ist das ja wohl nicht) und mich danach wieder mit dem eingeschränkten Domänenaccount anmelden, um normal weiterzuarbeiten.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Pixi123
19.06.2018 um 17:07 Uhr
leute danke für die Antworten.
Eine ganz grundsätzliche frage hätte ich noch.
Ich gehe jetzt von Win 8.1 als OS aus:
Wenn ich einen Domänen-benutzer manuell zum lokalen Admin machen will, kann ich das machen über
1.) Systemteuerung --> Benutzerkonten -> Benutzerkonten verwalten -> hinzufügen
oder
2.) Systemsteuerung -> Verwaltung -> Computerverwaltung -> Lokale Benutzer und Gruppen -> Gruppen -> Administratoren -> hinzufügen.

Das Ergebnis ist soweit ich das beurteilen kann, das gleiche, bis auf den (optischen) Unterschied, dass bei Variante 1 der neue lokale Admin bei den Benutzerkonten drinn steht und bei Variante 2 nicht; bei Variante 2 steht der neue lokale Admin "nur" in der Gruppe der Administratoren.

Was ist hier die best practise?
(nur Ineresse, ich verfolge bei mir daheim den auch von euch angeratenen Ansatz, nicht mehr als lokaler Admin unterwegs zu sein.)

Ich habe übrigens auch was zum Them "eingeschränkte Gruppen gelesen", und dabei war auch die Info, dass die GPO Group Policy Preferences der bessere Ansatz ist, um lokale Admin-Rechte (oder remotedesktop-Rechte usw) zu vergeben:
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> lokale Benutzer und Gruppen: neu -> lokale Gruppe -> Administratoren (integriert) auswählen (für lokale Admin -Rechte) -> hinzufügen (vorher erstellte globale Sicherheitsgruppe "lokale Admins").
GPO an passende OU verknüpfen und fertig.
Könnt ihr das so bestätigen, dass das besser ist als "eingeschränkte Gruppen", vor allem wegen der möglichen Zielgruppenadressierung.
Bitte warten ..
Mitglied: StefanKittel
19.06.2018 um 17:18 Uhr
Hallo,

meiner Meinung ist es am besten den Benutzer zu der Gruppe der lokalen Administratoren hinzuzufügen.
Das kann man auch schön über die GPO machen.

In kleinen Umgebungen erstelle ich gerne eine Gruppe "Domänen-Lokaler-Administrator" was ich einmal auf allen PCs hinzufüge.
Damit kann ich auf dem Server einem Benutzer zum lokalen Admin machen ohne was an seinem PC zu fummeln.
Er hat dann natürlich auf allen PCs Admin-Rechte.

Stefan
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?

Frage von M.MarzWindows Userverwaltung2 Kommentare

Hallo zusammen, welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne? Sind es die beiden o. ...

Windows 7

Anwendung starten ohne lokale Admin-Rechte

gelöst Frage von MarkusVHWindows 720 Kommentare

Hallo zusammen, ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ...

Windows 10

Domänen Benutzer von lokalen PC löschen

gelöst Frage von jimb0pWindows 102 Kommentare

Hallo Zusammen, ich möchte einen Benutzer der sich an meinem Laptop in der Domäne angemeldet hat löschen. Es gibt ...

Windows Tools

Tool als Admin und mit erhöhten Rechten ausführen in der Domäne

Frage von Huibuh2010Windows Tools7 Kommentare

Hallo liebe Admins, ich hab ein kleiner Problem. In der Domäne sollen alle User im Autostart den Network-Scanner von ...

Neue Wissensbeiträge
Netzwerkmanagement
Win 10 - wiederaufnahme in Domäne scheitert
Anleitung von Seesturm vor 6 StundenNetzwerkmanagement1 Kommentar

Ich habe ein kleines Netzwerk mit einem Domänencontroller Server 2012 R2. Die meisten Rechner laufen unter Windows 7. Vor ...

Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 1 TagInternet6 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 3 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 3 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Heiß diskutierte Inhalte
Instant Messaging
Whats App Business am PC einsetzen
Frage von thomasreischerInstant Messaging30 Kommentare

Hallo zusammen, wir würden demnächst gerne WhatsApp Business verwenden um den Kontakt zwischen Kunden und Mitarbeitern zu erleichtern. Natürlich ...

Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk24 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid19 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...