Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server 2008 Co-Admin einrichten für Installaltion an XP-Clients

Mitglied: Maxwell53

Maxwell53 (Level 1) - Jetzt verbinden

16.05.2011, aktualisiert 14:24 Uhr, 4465 Aufrufe, 9 Kommentare

Hallo,
ich habe leider zu wenig mit den Einstellungen der Gruppennrichtlinien AD auf dem Server 2008 zu tun und möchte keinen Schaden anrichten.
Vor einiger Zeit war das Problem garnicht vorhanden war und der Praktikant konnte die Installationen auf den XP-Clients durchführen.
Es kann sein, dass bei der Serverumstellung Einstellungen geändert worden sind?

so jetzt zum Thema:

ich habe einen Praktikanten, dem es möglich sein soll Installationen auf den xp-clients durchzuführen.

Dafür wurde (von wem auch immer?) auf dem Server 2008 im AD unter "Administrative Rechte" loc-lokale-Adminrechte angelegt, damit er auf Clients-PC installieren kann.
Unter den "Administrativen Rechten " ist noch ein Ordner "Administrative Benutzer" wo ein Benutzer "Praktikant" angelegt wurde.

Andere Rechte wie Zugriff auf Server- und administrative Ordner sollen nicht erfolgen.

Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen. Der Benutzer, welcher installieren soll ist unter Anderem auch ein Mitarbeiter bzw.Domänen Benutzer.

Ich habe den Benutzer hin und her verschoben und es erscheint beim Installieren die Meldung, dass admin.Rechte erforderlich sind.

Wo kann man im AD die einzelnen Berechtigung für die Gruppen setzen? Hab's leider vergessen.

Das Dumme ist,es hatte vor längerer Zeit schon einmal unter dem Account "Praktikant" funktioniert und jemand hat da Hand angelegt.

Vielen Dank
Mitglied: DerWoWusste
16.05.2011 um 15:01 Uhr
Moin.
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen.
Das geht nicht mit Bordmitteln. Man kann nur pauschal allen Installationen ermöglichen, aber nicht Einzelnen.
Du kannst höchstens dies hier dazu kaufen und verwenden: http://www.beyondtrust.com/PowerBroker-Desktops-Windows-Edition.aspx?se ...
Bitte warten ..
Mitglied: goscho
16.05.2011 um 15:16 Uhr
Hi Leute,

wenn der Praktikant auf den Client-PCs lokaler Admin werden soll, kann man diese doch über 'eingeschränkte Gruppen' erreichen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Bitte warten ..
Mitglied: danielmuc
16.05.2011 um 15:34 Uhr
Hallo Maxwell,

darf ich nochmal kurz nachhaken. Geht es um die Betriebssysteminstallation ? lokaler Admin oder darum Computer Konten in der Domain anzulegen / Clients in die Domain aufzunehmen ?
Bei letzteren würde ich die Option "Erstellen und löschen der Objekte Computer" auf die OU Computers in deiner AD Struktur für den User vergeben. Bzw. macht es sich auch immer gut für die Aufgabe eine Gruppe anzulegen und dieser dann das Recht für die Computer Objekte zu delegieren.

AD-User&Computers rechtklick auf die OU-> Sicherheit hinzufügen... Vererbung der Rechte funktioniert ähnlih wie NTFS

Greatz Daniel.
Bitte warten ..
Mitglied: Maxwell53
16.05.2011 um 18:15 Uhr
Hallo,

den Beitrag von goscho habe ich schon gelesen und der link auf die Seite der Gruppenrichtlinien ist prima. Aber wie gesagt, ich bin da ziemlich vorsichtig.

So jetzt zum Thema:

Das Erstellen von Objekten,usern,Computern und Einbinden von Peripherie ,sowie Installation Betriebssysteme mache ich alles selbst. Das ist alles in Ordnung.

Der Mitarbeiter soll mir zur Hilfe an der Seite stehen und auf den PC's der Mitarbeiter Anwendungen installieren dürfen oder Treiber. Ich brauche mich nur remote oder am PC des Anwenders anmelden und da gibt es als Domailn-Admin keine Probleme.
Diese Admin-Rechte möchte ich aber nicht meinem Hifs-Admin übertragen, da er nicht Zugriff auf die Verwaltungsebene oder Serverstruktur haben soll. Ansonsten könnte ich ihn unter dem Administratorkonto einpflegen und die Sache wäre erledigt.
Er hat dazu nicht die entsprechenden Vorraussetzung und dann muss ich die Suppe wieder auslöffeln.
Bitte warten ..
Mitglied: DerWoWusste
16.05.2011 um 22:16 Uhr
Maxwell, Du solltest auf alle Kommentare eingehen [zB. auf meinen ; ) ], sonst dümpelt die Sache nur vor sich hin.
Du schriebst, Du hättest es mal gelöst gehabt - ich versichere Dir: es ist nicht möglich mit den in Windows eingebauten Mitteln. Schau Dir mal die genannte Software an, mit der geht das tatsächlich. Zum Test auch kostenfrei, nur das Deployment netzwerkweit mit GPOs kostet was.

Vermutlich hast Du restricted groups (wie Dir im Tipp von Goscho genannt) selbst mal genutzt, das ist der einzige Weg, zumindest Adminrechte gemütlich überall (auf den Workstations, niocht auf den Servern) an bestimte Personen zu vergeben.
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 10:37 Uhr
Hi Maxwell,

restricted Groups sind gut aber bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden mit den Settings die du in der GPO via restricted Groups spezifizierst.

Finde deine Überschrift und die Beschreibung im Nachinein etwas Unglücklich:

Server 2008 .... da denke ich als AD Admin erstmal an deligierte Administration im AD

btw. die GPO musst du so aufhängen das die Clients diese auch ziehen, weil restricted Groups ein Maschinen Setting sind.
Am besten mit gpresult auf den Clients Überprüfen ob die Policy localadmin auch gezogen wurde.

Greatz Daniel.
Bitte warten ..
Mitglied: DerWoWusste
17.05.2011 um 11:18 Uhr
@Daniel:
bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden
Nö. Kommt ganz darauf an, wie man es macht. Ich zitiere mal experts exchange (eine MVP-Dame):
--
You can deploy Restricted Groups in either an additive or a destructive fashion:

•Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

•Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
--
->additive!
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 11:28 Uhr
Hi

das geht dann aber erst ab 2008 oder ?

Daniel.

p.s. hab heute meinen destruktiven TAG ...
Bitte warten ..
Mitglied: DerWoWusste
17.05.2011 um 11:31 Uhr
...und ich meinen additiven
Nee, geht schon seit win2k.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Client-Server-Netzwerk einrichten
Frage von ElduderinoWindows Netzwerk5 Kommentare

Hallo, kennt jemand ein paar gute Seiten bzw. hat jemand Tipps für die Einrichtung einer Client-Server-Umgebung für ca. 20 ...

Windows Server

Internetadresse einrichten Server 2008 R2

Frage von sbsnewbieWindows Server7 Kommentare

Moin Admins, folgende Frage: Habe mir einen gebrauchten Server 2008 R2 ins Büro gestellt, für eine Testumgebung. Da ich ...

Windows Server

Server 2008 Client Isolation

Frage von dax4funWindows Server6 Kommentare

Hi, Freunde lange nicht gehört Wahrscheinlich weil alles funktioniert hat ;) habe einen Windows Server 2008 R2 RAS VPN ...

Windows Server

Windows XP embedded thin Client einrichten mit Windows server 2012 r2

Frage von katete25Windows Server1 Kommentar

Hallo ich habe einen Windows XP Embedded Thin Client. Als Server nutze ich einen Windows server 2012 r2. Jetzt ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 11 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 17 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 21 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...