Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Installationsrechte an Benutzer zuweisen, ihn aber gleichzeitig nicht auf alle Ordner zugreifen lassen (lokale Administrationsrechte?)

Mitglied: DrCox

DrCox (Level 1) - Jetzt verbinden

14.02.2018 um 14:21 Uhr, 561 Aufrufe, 9 Kommentare, 2 Danke

Ich möchte in einer Windows Server 2016 Umgebung einem User erlauben, dass er Installationen auf den Client-PCs durchführen kann. Gleichzeitig solllen dem User aber keine umfassenden Administrationsrechte, wie zB Zugriff auf Ordner anfallen.

Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.

Beim System handelt es sich um Windows Server 2016.
Mitglied: emeriks
14.02.2018 um 14:24 Uhr
Hi,
Ich möchte in einer Windows Server 2016 Umgebung einem User erlauben, dass er Installationen auf den Client-PCs durchführen kann.
Ihr habt auf den Clients Windows Server 2016 installiert?

Gleichzeitig solllen dem User aber keine umfassenden Administrationsrechte, wie zB Zugriff auf Ordner anfallen.
Ordner auf dem Server (Freigaben) oder auf den Clients?

Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.
Wenn es eine Domäne ist (wovon ich ausgehe), dann die Domänen-Konten (Nicht-Domänenadmins) auf den Clients zu lokalen Admins machen (Mitglieder der lokalen Gruppe "Administratoren")

E.
Bitte warten ..
Mitglied: SlainteMhath
14.02.2018 um 14:27 Uhr
Moin,

das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.

=> Das wird so nichts.

lg,
Slainte
Bitte warten ..
Mitglied: Penny.Cilin
14.02.2018 um 14:37 Uhr
Was für eine sinnbefreite Frage.
Ein Benutzerkonto soll administrative Berechtigungen bekommen, aber nicht auf alle Ordner / Verzeichnisse zugreifen
dürfen.

Thema verfehlt - setzen 6.

Ein Benutzerkonto mit administrativer Berechtigung kann sich auf Grund seines Status Zugriff auf Objekte verschaffen.
Das ist per Design so. Entweder hat ein Benutzer die Berechtigungen, oder nicht.

Das was Du fragst geht NICHT. Und macht auf einem Server sowieso keinen Sinn.
Ich denke der befreundeten Administrator wird Dir das gleiche geantwortet haben.

P.S. Und die Diskussionsrichtlinien wurden auch mal wieder nicht angewendet.
Regel Nr. 1: Netiquette

Gruss Penny
Bitte warten ..
Mitglied: emeriks
14.02.2018 um 14:41 Uhr
@SlainteMhath
@Penny.Cilin
Ich denke, diese Frage ist nicht sinnfrei, eher der Fragesteller Laie. Also Nachsicht. Ein Bisschen Empathie ...
Bitte warten ..
Mitglied: departure69
14.02.2018 um 15:06 Uhr
Hallo.

ich denke, den Server 2016 hast Du nur der Vollständigkeit halber genannt, um klarzumachen, daß auf diesem eine Domäne residiert und der vielleicht auch noch Fileserver ist.

Du kannst den User auf den Clients zum lokalen Admin machen (lokale Benutzerverwaltung). Dann kann er lokal Programme installieren. Der lokale Admin macht ihn nicht zum Domänen-Admin, somit sind Ordner/Verzeichnisse/Dateien auf Deinem Server nicht in Gefahr, sofern Du bei diesen die Berechtigungen, sowohl auf Share- als auch auf Dateisystemebene (NTFS) entsprechend im Griff (über Berechtigungseinstellungen geschützt) hast.

Ohne Dich ärgern zu wollen, doch es kommt mir so vor, als würdest Du selbst schon nicht richtig verstehen, wie die ganzen Zusammenhänge sind (Deine Frage/Fragestellung sagt mir das), und da willst Du einem, der noch weniger von der Materie versteht, Administrationsrechte (wenn auch nur lokal) zugestehen?

Ich wäre da lieber vorsichtig.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: DrCox
14.02.2018 um 16:47 Uhr
Also es gibt Clients auf denen Windows 7 installiert ist. Dort möchte ich Software installieren können.

Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre. Geht es nicht auch, dass man einen Nutzer die lokalen Installationsmöglichkeiten überlässt, aber eben keine umfassenden Administrator-Berechtigungen?
Bitte warten ..
Mitglied: SlainteMhath
14.02.2018 um 16:49 Uhr
Nein das geht nicht (wie schon beschrieben).

Innerhalb der Domäne macht man das per GPO oder Startupscipts (Installationen) und WSUS (Updates). Dazu braucht kein User irgendwelche Sonderrechte.
Bitte warten ..
Mitglied: departure69
14.02.2018, aktualisiert um 18:54 Uhr
Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre.

Derjenige, der Dir da vorschwebt, soll sich dabei ja auch nicht als lokaler Admin mit einem lokalen Konto anmelden, sondern durchaus mit seinem (in der Domäne eingeschränkten) Domänenkonto. Und das geht, indem Du auf jedem PC, um den es Dir geht, den User, um den es Dir geht, mit seinem Domänenkonto in die lokale Gruppe der Administratoren aufnimmst, keine Sorge, er wird dadurch nicht zum Domänen-Admin:

ad01 - Klicke auf das Bild, um es zu vergrößern
ad02 - Klicke auf das Bild, um es zu vergrößern
ad03 - Klicke auf das Bild, um es zu vergrößern
ad04 - Klicke auf das Bild, um es zu vergrößern

Im letzten Screenshot ist als Suchpfad natürlich die Domäne zu verwenden!


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Sheogorath
15.02.2018 um 12:22 Uhr
Moin,


Zitat von SlainteMhath:
das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.

=> Das wird so nichts.

*klugscheißer-mode on* Das ist nicht richtig. Es ist durchaus ohne Probleme möglich als Benutzer Programme zu installieren ohne auch nur einen dieser Bereiche anzufassen. Allerdings sind die meisten Installer nicht dafür konzipiert, von daher ist es oft nur eine theoretische Möglichkeit.

Die hierfür vorgesehenen Verzeichnisse befinden sich in "%localappdata%". Natürlich sind diese dann nur im Benutzerkontext installiert, aber installiert sind sie. Übrigens auch ein Grund warum es extra eine GPO gibt, die das Aufrufen von Installern verhindert/-n will.

*klugscheißer-mode off*

Aber alles in allem, stimme ich dir zu ^^ In der Regel braucht man durchaus umfassende Rechte um was vernünftig installieren zu können.

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Benutzer mit Installationsrechten
Frage von uridium69Windows Userverwaltung3 Kommentare

Moin zusammen Bei uns in der Firma wird für jegliche Installation von Software oder Drucker (lokal angeschlossene Drucker), bisher ...

SAN, NAS, DAS

Nas mit USB und LAN gleichzeitig zugreifen

gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Apache Server

Gleichzeitige Zugriffe anzeigen lassen, SSH

Frage von sbsnewbieApache Server3 Kommentare

Moin Admins, ein Frage. Habe über Google nichts gefunden, wahrscheinlich habe ich den falschen Suchbegriff eingegeben Mit welchem Kommando ...

Windows Server

GPO einem Benutzer zuweisen

gelöst Frage von RaucherbeinWindows Server6 Kommentare

Hallo. Ich benötige mal bitte eure Hilfe bei folgendem Verständnisproblem. Ich habe eine virtuelle Testumgebung aufgebaut (siehe Bild). Nun ...

Neue Wissensbeiträge
Windows 10

Blackscreen nach dem Update von 1809 auf 1809 wenn der Rechner aus dem Standby gestartet wird

Tipp von FSX2010 vor 22 StundenWindows 104 Kommentare

Habt ihr den Samsung Treiber "Samsung_NVM_Express_Driver_3.0" installiert sollte dieser für 1809 deinstalliert werden da dieser nicht kompatibel ist. Der ...

Utilities
Teamviewer 14 Verbindungsprobleme mit Proxy
Tipp von PeterleB vor 2 TagenUtilities

Nach dem Umstieg von Version 13 auf 14 wollte sich TV nicht mehr mit dem Netz verbinden, ignorierte offenbar ...

Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 2 TagenAdministrator.de Feedback5 Kommentare

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 4 TagenSonstige Systeme8 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Heiß diskutierte Inhalte
Router & Routing
Dediziertes ISP -Routing
gelöst Frage von niLuxxRouter & Routing13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei ...

Monitoring
WMI Problem bei PRTG
Frage von justInsaneMonitoring12 Kommentare

Hallo zusammen, ich bin zur Zeit dabei, das PRTG Monitoring Tool auszutesten. Ich habe das ganze nun grob konfiguriert ...

Samba
Linux Server und Windows Linux Client
gelöst Frage von 137898Samba12 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...

Webbrowser
Proxy-Zugangsdaten in Firefox hinterlegen
Frage von SebastianGSWebbrowser10 Kommentare

Hallo zusammen, kennt jemand von Euch aktuell eine Möglichkeit die Proxy-Zugangsdaten im Firefox (Vers. 63.0.3 - 64-Bit) zu hinterlegen, ...