Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Installationsrechte an Benutzer zuweisen, ihn aber gleichzeitig nicht auf alle Ordner zugreifen lassen (lokale Administrationsrechte?)

Mitglied: DrCox

DrCox (Level 1) - Jetzt verbinden

14.02.2018 um 14:21 Uhr, 281 Aufrufe, 9 Kommentare, 2 Danke

Ich möchte in einer Windows Server 2016 Umgebung einem User erlauben, dass er Installationen auf den Client-PCs durchführen kann. Gleichzeitig solllen dem User aber keine umfassenden Administrationsrechte, wie zB Zugriff auf Ordner anfallen.

Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.

Beim System handelt es sich um Windows Server 2016.
Mitglied: emeriks
14.02.2018 um 14:24 Uhr
Hi,
Ich möchte in einer Windows Server 2016 Umgebung einem User erlauben, dass er Installationen auf den Client-PCs durchführen kann.
Ihr habt auf den Clients Windows Server 2016 installiert?

Gleichzeitig solllen dem User aber keine umfassenden Administrationsrechte, wie zB Zugriff auf Ordner anfallen.
Ordner auf dem Server (Freigaben) oder auf den Clients?

Wie kann ich dies am besten lösen? Habe schon einiges gesucht und auch einen befreundeten Administrator gefragt, aber bin leider noch nicht schlauer.
Wenn es eine Domäne ist (wovon ich ausgehe), dann die Domänen-Konten (Nicht-Domänenadmins) auf den Clients zu lokalen Admins machen (Mitglieder der lokalen Gruppe "Administratoren")

E.
Bitte warten ..
Mitglied: SlainteMhath
14.02.2018 um 14:27 Uhr
Moin,

das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.

=> Das wird so nichts.

lg,
Slainte
Bitte warten ..
Mitglied: Penny.Cilin
14.02.2018 um 14:37 Uhr
Was für eine sinnbefreite Frage.
Ein Benutzerkonto soll administrative Berechtigungen bekommen, aber nicht auf alle Ordner / Verzeichnisse zugreifen
dürfen.

Thema verfehlt - setzen 6.

Ein Benutzerkonto mit administrativer Berechtigung kann sich auf Grund seines Status Zugriff auf Objekte verschaffen.
Das ist per Design so. Entweder hat ein Benutzer die Berechtigungen, oder nicht.

Das was Du fragst geht NICHT. Und macht auf einem Server sowieso keinen Sinn.
Ich denke der befreundeten Administrator wird Dir das gleiche geantwortet haben.

P.S. Und die Diskussionsrichtlinien wurden auch mal wieder nicht angewendet.
Regel Nr. 1: Netiquette

Gruss Penny
Bitte warten ..
Mitglied: emeriks
14.02.2018 um 14:41 Uhr
@SlainteMhath
@Penny.Cilin
Ich denke, diese Frage ist nicht sinnfrei, eher der Fragesteller Laie. Also Nachsicht. Ein Bisschen Empathie ...
Bitte warten ..
Mitglied: departure69
14.02.2018 um 15:06 Uhr
Hallo.

ich denke, den Server 2016 hast Du nur der Vollständigkeit halber genannt, um klarzumachen, daß auf diesem eine Domäne residiert und der vielleicht auch noch Fileserver ist.

Du kannst den User auf den Clients zum lokalen Admin machen (lokale Benutzerverwaltung). Dann kann er lokal Programme installieren. Der lokale Admin macht ihn nicht zum Domänen-Admin, somit sind Ordner/Verzeichnisse/Dateien auf Deinem Server nicht in Gefahr, sofern Du bei diesen die Berechtigungen, sowohl auf Share- als auch auf Dateisystemebene (NTFS) entsprechend im Griff (über Berechtigungseinstellungen geschützt) hast.

Ohne Dich ärgern zu wollen, doch es kommt mir so vor, als würdest Du selbst schon nicht richtig verstehen, wie die ganzen Zusammenhänge sind (Deine Frage/Fragestellung sagt mir das), und da willst Du einem, der noch weniger von der Materie versteht, Administrationsrechte (wenn auch nur lokal) zugestehen?

Ich wäre da lieber vorsichtig.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: DrCox
14.02.2018 um 16:47 Uhr
Also es gibt Clients auf denen Windows 7 installiert ist. Dort möchte ich Software installieren können.

Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre. Geht es nicht auch, dass man einen Nutzer die lokalen Installationsmöglichkeiten überlässt, aber eben keine umfassenden Administrator-Berechtigungen?
Bitte warten ..
Mitglied: SlainteMhath
14.02.2018 um 16:49 Uhr
Nein das geht nicht (wie schon beschrieben).

Innerhalb der Domäne macht man das per GPO oder Startupscipts (Installationen) und WSUS (Updates). Dazu braucht kein User irgendwelche Sonderrechte.
Bitte warten ..
Mitglied: departure69
14.02.2018, aktualisiert um 18:54 Uhr
Die Rechner haben schon einen lokalen Admin-Account. Dafür muss man sich aber ja immer von der Domäne abmelden, was unpraktisch für jede Installation / Update wäre.

Derjenige, der Dir da vorschwebt, soll sich dabei ja auch nicht als lokaler Admin mit einem lokalen Konto anmelden, sondern durchaus mit seinem (in der Domäne eingeschränkten) Domänenkonto. Und das geht, indem Du auf jedem PC, um den es Dir geht, den User, um den es Dir geht, mit seinem Domänenkonto in die lokale Gruppe der Administratoren aufnimmst, keine Sorge, er wird dadurch nicht zum Domänen-Admin:

ad01 - Klicke auf das Bild, um es zu vergrößern
ad02 - Klicke auf das Bild, um es zu vergrößern
ad03 - Klicke auf das Bild, um es zu vergrößern
ad04 - Klicke auf das Bild, um es zu vergrößern

Im letzten Screenshot ist als Suchpfad natürlich die Domäne zu verwenden!


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Sheogorath
15.02.2018 um 12:22 Uhr
Moin,


Zitat von SlainteMhath:
das wird so nicht funktionieren. Um Software zu installieren bracht der User nunmal umfassenden Rechte (Ordner, Systemverzeichnis, HKLM) ... damit kann er dann auch lokal auf alle Ordner zugreifen bzw. sich entsprechende Rechte verschaffen.

=> Das wird so nichts.

*klugscheißer-mode on* Das ist nicht richtig. Es ist durchaus ohne Probleme möglich als Benutzer Programme zu installieren ohne auch nur einen dieser Bereiche anzufassen. Allerdings sind die meisten Installer nicht dafür konzipiert, von daher ist es oft nur eine theoretische Möglichkeit.

Die hierfür vorgesehenen Verzeichnisse befinden sich in "%localappdata%". Natürlich sind diese dann nur im Benutzerkontext installiert, aber installiert sind sie. Übrigens auch ein Grund warum es extra eine GPO gibt, die das Aufrufen von Installern verhindert/-n will.

*klugscheißer-mode off*

Aber alles in allem, stimme ich dir zu ^^ In der Regel braucht man durchaus umfassende Rechte um was vernünftig installieren zu können.

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
Apache Server

Gleichzeitige Zugriffe anzeigen lassen, SSH

Frage von sbsnewbieApache Server3 Kommentare

Moin Admins, ein Frage. Habe über Google nichts gefunden, wahrscheinlich habe ich den falschen Suchbegriff eingegeben Mit welchem Kommando ...

Windows Server

GPO einem Benutzer zuweisen

gelöst Frage von RaucherbeinWindows Server6 Kommentare

Hallo. Ich benötige mal bitte eure Hilfe bei folgendem Verständnisproblem. Ich habe eine virtuelle Testumgebung aufgebaut (siehe Bild). Nun ...

Windows Server

Thunderbird Update erfordert Administrationsrechte

gelöst Frage von Adnan88Windows Server3 Kommentare

Hallo, wir haben bei uns aktuell noch Thunderbird im Einsatz bei Updates von Thunderbird sind allerdings Administrationsrechte erforderlich, der ...

Windows Server

Lokale Richtlinien-Zuweisen von Benutzerrechten enthält scheinbar nicht gefundene Benutzer

gelöst Frage von rzlbrnftWindows Server2 Kommentare

Hallo Kollegen, Da ich zu Testzwecken eine neue Domain eingerichtet habe die demnächst trusted wird, hab ich unsere GPOs ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 22 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...