8
GPO Lokale Administratoren - Verständnissfrage
Hallo Communitiy,
ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.
Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.
Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:
1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?
Danke!
Variante 1
Variante 2
ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.
Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.
Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:
1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?
Danke!
Variante 1
Variante 2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204124
Url: https://administrator.de/contentid/204124
Printed on: April 19, 2024 at 22:04 o'clock
8 Comments
Latest comment
Hallo,
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...
Gruß,
Peter
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
> ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben
etwas ganz anderes bedeuten? Dazu am Lokalen Rechner nach Benutzer - Erweitert - Gruppen - Administratoren gehen und händisch eintragen oder das ganze per Gruppenrichtline und einer Domäne aus machen. Das hat mit deinen Bildern nichts zu tun. Bedenke: ein Administrator ist ein Administartor. Du kannst versuchen ihn einzuschränken (deine Bilder?) aber ein Administrator ist eben ein Administartor und kann sich wieder selbst befreien weil er eben ein Administrator ist.Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...
Gruß,
Peter
Hallo StripLV,
Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
MfG,
ticuta1
Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
MfG,
ticuta1
Hi.
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
Zuerst mal danke an alle!
@Pjordorf Was ich erreichen möchte: Der User soll an seinem PC Software installieren können. Er ist als Domänenbenutzer angemeldet (also als Domain\User und nicht als PCName\User). Mehr nicht.
@ticuta1 In deinem Link ganz unten der Screenshot verwirrt mich jetzt noch mehr. Da sind ja meine beiden Varianten GLEICHZEITIG in einer GPO?
@DerWoWusste Natürlich arbeite ich mit Softwareverteilung (Java Adobe Reader, Flash usw.). Ich habe auch schon viel darüber gelesen. Fakt ist was ich bis jetzt festgestellt habe: Wenn ich Variante 1 nehme kann der User wie gewünscht die SW installieren.
Nur weiß ich nicht:
1. ob er dadurch noch mehr Rechte bekommt?
2. Nach wie vor den Unterschied zwischen meiner Variante 1 und 2. Wie gesagt ich finde Anleitungen in dem sowohl Variante 1 beschrieben wird als auch Variante 2. Und nun durch den Link von tictua1 auch noch beides gleichzeitig. Was passiert den bei Variante 1 auf dem Client und was bei Variante 2? (und wo sind die Unterschiede)
3. Wie handhabt ihr das? Was ist "best practice" eurer Meinung nach?
Sorry aber ich bin echt verwirrt. Daher auch die Frage an euch.
Danke noch mals!
@Pjordorf Was ich erreichen möchte: Der User soll an seinem PC Software installieren können. Er ist als Domänenbenutzer angemeldet (also als Domain\User und nicht als PCName\User). Mehr nicht.
@ticuta1 In deinem Link ganz unten der Screenshot verwirrt mich jetzt noch mehr. Da sind ja meine beiden Varianten GLEICHZEITIG in einer GPO?
@DerWoWusste Natürlich arbeite ich mit Softwareverteilung (Java Adobe Reader, Flash usw.). Ich habe auch schon viel darüber gelesen. Fakt ist was ich bis jetzt festgestellt habe: Wenn ich Variante 1 nehme kann der User wie gewünscht die SW installieren.
Nur weiß ich nicht:
1. ob er dadurch noch mehr Rechte bekommt?
2. Nach wie vor den Unterschied zwischen meiner Variante 1 und 2. Wie gesagt ich finde Anleitungen in dem sowohl Variante 1 beschrieben wird als auch Variante 2. Und nun durch den Link von tictua1 auch noch beides gleichzeitig. Was passiert den bei Variante 1 auf dem Client und was bei Variante 2? (und wo sind die Unterschiede)
3. Wie handhabt ihr das? Was ist "best practice" eurer Meinung nach?
Sorry aber ich bin echt verwirrt. Daher auch die Frage an euch.
Danke noch mals!
Du hast von mir Links bekommen, die alle Fragen beantworten und bist darauf nicht eingegangen. Ebensowenig auf die Bitte.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:
[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
>Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:
- Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.
- Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
>Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
Hallo StripLC,
eigentlich wenn Du aufmerksam gelesen hättest, hättest Du schon bemerkt dass mein Link als Best Practice die eingeschränkte Gruppe vorgibt, wass eigentlich auch die Meinung von DerWoWusste ist.
LG, ticuta1
eigentlich wenn Du aufmerksam gelesen hättest, hättest Du schon bemerkt dass mein Link als Best Practice die eingeschränkte Gruppe vorgibt, wass eigentlich auch die Meinung von DerWoWusste ist.
LG, ticuta1
@DerWoWusste
Der von dir beschriebene Weg (Additive) IST doch meine Variante 1.Auf der anderen Seite schreibst Du das er mehr Rechte bekommt? Hä?
Zu 3. Ja aber in meinem Fall ist diese Sw nicht als MSI verfügbar und auch so nicht machbar. Der Typ macht das Onlinemarketing / Grafiken / Website usw. Wenn er mich jedes mal wenn er was installieren will kontaktieren muss ist das nicht so optimal. Daher soll er installieren was er will AUF SEINEM PC.
@ticuta1
Dein Link beschreibt sowohl meine Variante 1 und 2.
Was ich als Fazit durch eure Beiträge verstehe: Ich werde meine Variante 1 nehmen. Das müsste dann passen.
DANKE noch mal an euch!
Der von dir beschriebene Weg (Additive) IST doch meine Variante 1.Auf der anderen Seite schreibst Du das er mehr Rechte bekommt? Hä?
Zu 3. Ja aber in meinem Fall ist diese Sw nicht als MSI verfügbar und auch so nicht machbar. Der Typ macht das Onlinemarketing / Grafiken / Website usw. Wenn er mich jedes mal wenn er was installieren will kontaktieren muss ist das nicht so optimal. Daher soll er installieren was er will AUF SEINEM PC.
@ticuta1
Dein Link beschreibt sowohl meine Variante 1 und 2.
Was ich als Fazit durch eure Beiträge verstehe: Ich werde meine Variante 1 nehmen. Das müsste dann passen.
DANKE noch mal an euch!
Hi.
Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.
Ostergrüße!
Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.
Ostergrüße!
