Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Domänenadministrator für Azubi

Mitglied: Kaldron

Kaldron (Level 1) - Jetzt verbinden

14.10.2009 um 11:33 Uhr, 7685 Aufrufe, 17 Kommentare

Hallo zusammen,

bei uns in der IT hat vor kurzem ein neuer Azubi angefangen. Wir würden ihm gerne zu den normalen Domänenbenutzerrechten zusätzliche Rechte zur Einbindung von PCs in die Domäne geben. Außerdem soll er mit dem Account Installationen auf den PCs durchführen können. Momentan macht er das über die lokalen Adminrechte, was aber nervt da jeder PC ein eigenes Passwort hat.

Gibt es hier eine Möglichkeit dem normalen Domänenbenutzer mehr Rechte zu geben oder einem kopierten Domänenadmin die Rechte zu beschneiden? Er soll sich vorerst nicht auf den Servern anmelden oder im Active Directory Änderungen durchführen können.

Vorab schon mal vielen Dank für die Hilfe !
Mitglied: Hotgun
14.10.2009 um 11:50 Uhr
Delegierung von Benutzerrechten ist das Stichwort, einfach mal über "Active Directory Benutzer und Computer" dem Benutzer genau die Rechte geben, die er braucht, heute muß keiner mehr Domänen-Admin sein um solche Sachen machen zu dürfen/können, zum Glück
Bitte warten ..
Mitglied: Aldeeer
14.10.2009 um 11:59 Uhr
Es gibt auch genügend Gruppenrichtlinien wo man Benutzern Rechte geben kann wie zum Beispiel Computer in die Domain hinzufügen.
Bzw gibt man es den Gruppen und schiebt dort die Benutzer rein, ist evt. nicht der letzte Azubi ;)

Gruß
Bitte warten ..
Mitglied: IT-Kean
14.10.2009 um 13:15 Uhr
Warum fügst du den Azubi nicht einfach in der Gruppe der Lokalen Administratoren hinzu ?
Bitte warten ..
Mitglied: Aldeeer
14.10.2009 um 15:08 Uhr
Klar das geht auch, aber ich bin der Meinung man sollte einmal 5 Minuten mehr Zeit investieren und Gruppen richtig konfigurieren, denn dann erspart man sich beim nächsten mal den Stress.

Gruß
Bitte warten ..
Mitglied: Kaldron
14.10.2009 um 17:06 Uhr
Ich habe das Problem jetzt soweit gelöst. Ich habe eine neue Gruppe IT-Azubis erstellt und diese in die Gruppe der lokalen Administratoren aufgenommen. Anschließend habe ich die Default Domain Controller Policy dahingehend abgeändert, dass IT_Azubis und die Domänenadmins Rechner in die Domäne aufnehmen können. Habe noch 2 Testuser angelegt. Funktioniert.

Danke nochmal für eure schnelle Hilfe!
Bitte warten ..
Mitglied: sebastianschwab
14.10.2009 um 17:17 Uhr
kaldron ist halt doch der beste
Bitte warten ..
Mitglied: Urlicht
19.10.2009 um 10:03 Uhr
Das Stichwort heißt A-G-DL-P-Strategie. Kann man bei MS nachschlagen.
Es geht nur darum , daß man eine feste Hierarchie erstellt
A=Account ist die unterste Ebene (Benutzerkonto)
G=Globale Gruppen erstellen (z.B. IT-Azubis)
DL=Domönenlokale Gruppen (z.B. lokale Admins)
P=Permissions oder Benutzerrechte
Die Accounts werrden Mitglieder in globalen Gruppen. Diese werden wiederum Dömänenlokalen Gruppen zugeordnet.
Dann werden Benutzerrechte zugewiesen (ggf. GP).
Damit ist eine klare und nachvollziehbare Struktur erstellt.
Bitte warten ..
Mitglied: flysnop
19.10.2009 um 15:09 Uhr
Rechner in die Domäne aufnehmen kann jeder Domänenuser.
Für den Rest ein Install Konto anlegen!?
Bitte warten ..
Mitglied: DerWoWusste
20.10.2009 um 02:21 Uhr
Was noch nicht erwähnt wurde: eingeschränkte Gruppen. So fügst Du mühelos allen lokalen Admingruppen die Domänengruppe Nachwuchs (oder was auch immer) hinzu.
Bitte warten ..
Mitglied: sebastianschwab
20.10.2009 um 13:17 Uhr
jep, haben einen admin.install angelegt, der auch zugriff auf das install-netzlaufwerk hat. zudem kann dieser admin auch rechner in die domäne einbinden.

dass jeder domänenuser rechner in eine domäne einbinden kann, ist bei uns nicht der fall (ob das generell so ist oder auch nicht kann ich nicht sagen)
Bitte warten ..
Mitglied: TuXHunt3R
20.10.2009 um 23:45 Uhr
Rechner in die Domäne aufnehmen kann jeder Domänenuser.

Wenn diese Aussage richtig wäre, könnte jeder Benutzer seinen privaten Notebook mitnehmen und in die Domäne aufnehmen, da nämlich standardmässig die primäre Gruppe eines Benutzer-Kontos im AD die Gruppe "Domänen-Benutzer" oder auf English "Domain Users" ist. Diese Aussage ist definitiv falsch.
Bitte warten ..
Mitglied: sebastianschwab
21.10.2009 um 09:31 Uhr
Wenn diese Aussage richtig wäre, könnte jeder Benutzer
seinen privaten Notebook mitnehmen und in die Domäne aufnehmen,
da nämlich standardmässig die primäre Gruppe eines
Benutzer-Kontos im AD die Gruppe "Domänen-Benutzer"
oder auf English "Domain Users" ist. Diese Aussage ist
definitiv falsch.

das klingt mir irgendwie logisch
Bitte warten ..
Mitglied: flysnop
21.10.2009 um 09:41 Uhr
Könnte dieser User machen ja, wenn er ein Userkonto in der Domäne hat.
Nur was hat er davon? er ist ja dann an erstens an sein Konto gebunden und an Group policies...
Bitte warten ..
Mitglied: sebastianschwab
21.10.2009 um 09:47 Uhr
Könnte dieser User machen ja, wenn er ein Userkonto in der
Domäne hat.
Nur was hat er davon? er ist ja dann an erstens an sein Konto
gebunden und an Group policies...

einen rechner in die domäne einbinden, der schon in der domäne ist... ????

weil wenn der rechner noch nicht eingebunden ist kann er auch 2 benutzerkonten haben und es bringt nichts...
Bitte warten ..
Mitglied: Aldeeer
21.10.2009 um 09:48 Uhr
Der normale Domainnutzer darf das zu 100% nicht (in der Standartkonfiguration).
Bitte warten ..
Mitglied: flysnop
21.10.2009 um 10:00 Uhr
bei uns funktioniert es.
allerdings auch nur begrenzt... ca. 10-15 mal? dann kommt ne meldung das die aufnahme nicht mehr möglich ist.
Mir ist das aufgefallen als ich mehrere rechner in die Domäne aufnehmen wollte und nich immer das lange adminpasswort eingeben wollte hab ich nen user mit 5 buchstaben im namen und kennwort genommen.
Bitte warten ..
Mitglied: DerWoWusste
21.10.2009 um 16:18 Uhr
Die Aussage ist wahr, siehe http://technet.microsoft.com/en-us/library/cc976452.aspx. (Policy gilt übrigens nur auf DCs)
Nutzer dürfen 10 WKS aufnehmen. Was sie nicht dürfen, ist überschreiben von bestehenden, da dies einem Löschen gleich kommt.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Ehemaliger Domänenadministrator hat noch lokale Rechte

Frage von Yosei12Windows Netzwerk6 Kommentare

Hallo in die Runde, ich hab folgendes Problem: Wir haben in der Firma unsere Domäne umgestellt und dabei habe ...

Windows Netzwerk

Keine localen Berechigungen mehr DomänenAdministrator

Frage von NebuchadWindows Netzwerk4 Kommentare

Hallo, ich habe folgendes Problem auf meinem Win 10 Notebook in einer Win Srv 2012 R2 Umgebung. Ich habe ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 22 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...