Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win - Gruppenrichtlinien - Einschränkungen

Mitglied: Schimpy

Schimpy (Level 1) - Jetzt verbinden

03.01.2007, aktualisiert 04.01.2007, 4337 Aufrufe, 4 Kommentare

Problem - Administratoren dürfen alles essen aber nicht alles machen

Hallo,

ich bin einer der Netzwerkadministratoren in einem Verbund von ca. 200 Rechnern.
Wir teilen uns den ganzen Kram mit zwei Supportern, die beiden sind dafür da, die Rechner bei den Nutzern hinzustellen, aufzubauen, in die Domäne zubringen und evtl kleinere Fehler zu beheben. Oder zB auch Software nach zu installieren.

Wir Netzwerkadministratoren kümmern uns halt ums Netzwerk, dass jeder seinen Benutzernamen bekommt, Gruppenrichtlinien etc.

bisher haben wir ohne OU's etc. gearbeitet

nun hätten wir gerne eine Gruppenrichtlinie die es uns Administratoren zB erlaubt im Active Directory rumzubasteln oder Neue Nutzer anzulegen etc. und den Supportern jenes verbietet...
allerdings brauchen Sie ja Adminrechte um zB Software zu installieren...

kann mir jemand helfen?

Danke schonmal für Ideen / Denkanstöße

Gruß Jörg
Mitglied: geTuemII
03.01.2007 um 14:55 Uhr
Dazu brauchst du nicht zwingend eine neue OU.

1. Der Einfachheit halber eine Sicherheitsgruppe Supporter einrichten und konfigurieren.

2. GPO --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Hinzufügen von Arbeitsstationen zur Domain --> Supporter hinzufügen

3. GPO --> Compuerkonfiguration --> Eingeschränkte Gruppen --> rechte Maus --> Gruppe hinzufügen --> Administratoren --> Vorsicht! Alle normal auf den Rechnern vorhandenen Mitglieder der Administratoren-Gruppe eintragen, da die Richtlinie den lokalen Eintrag der Rechner überschreibt. Und natürlich die Supporter nicht vergesssen.

geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 06:46 Uhr
hallo,

danke erstmal für die Antwort

aber ich seh da irgendwie noch Probleme, oder ich verstehe es nicht richtig...

zu 1) gute Idee ;)

zu 2) die "Supporter" sind Benutzer, dh. eine Computerkonfig. würde mir garnichts bringen, da ich ja dann die Richtlinien auf den jeweiligen Computern einschränke und nicht von diesen beiden "Benutzern/Supportern" wenn ich zB Ihren PC hinzufüge, dann könnten sie die vollen Rechte an nem anderen Computer der nicht in der OU/Sicherheitsgruppe ist nutzen. Oder geht es auch wenn ich Benutzer in diese OU/SichGruppe einfüge, gelten dann auch die Rechte?!?!

zu 3) Eingeschränkte Gruppen hab ich verstanden, das mit den lokalen Rechten ist auch kein Ding, aber wo steht was die Mitglieder der "Eingeschränkten Gruppe" können oder auch nicht können?

Vielen Dank

Gruß Jörg
Bitte warten ..
Mitglied: geTuemII
04.01.2007 um 15:44 Uhr
Hallo Schimpy,

also das Ganze nochmal langsam von Anfang an:

zu 1. Deine Support-Mitarbeiter sind Mitglied der SecGroup Benutzer (Domain-User). Sie haben keinerlei administrative Rechte, schon gar keine Rechte der Domain-Admins. Sie können also keine Clients administrieren bzw. der Domain hinzufügen. Erstelle eine SecGroup Supporter und für diejenigen Benutzer, die Support-Rechte erhalten sollen, diese Gruppe hinzu.

zu 2. Supporter sollen Clients der Domain hinzufügen können. Durch die oben genannten Einstellungen werden die Rechte der Support-Mitarbeiter nicht eingeschränkt, sondern erweitert. Sie haben ja "bis jetzt" keinerlei erweiterte Rechte, da sie Benutzer sind und für Supporter noch keine erweiterten Rechte definiert sind. Für welche Clients diese Rechte gelten, ist von dem Einsprungpukt abhängig, an den du die Policy verknüpfst. Damit haben wir die Anforderung, daß Supporter Clients in die Domain aufnehmen können, erfüllt.

zu 3. Mit den oben genannten Einstellungen fügst du Supporter den lokalen Administratoren des Clients hinzu. Damit haben sie auch alle Rechte der Administratoren auf dem Client, aber keine Admin-Rechte in der Domain. Auch hier ist entscheidend, wohin die Policy verknüpft wird. Supporter können also Software installieren und den Client administrieren, diese Anforderung ist also auch erfüllt.

Aber bitte nicht vergessen, die aktuell lokal vorhandenen Einträge mit in die Eingeschränkte Gruppe Administratoren aufzunehmen, sonst ist zb. der User Administrator am lokalen Rechner nicht mehr Mitglied der Gruppe Administratoren!

HTH geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 19:12 Uhr
klingt sehr gut

ich denke ich habs verstanden, werde das dann morgen früh mal ausprobieren!

wenns nicht klappt, komme ich auf dich zurück ;)

Vielen Dank für die Antwort

Gruß Schimpy
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows 10 ! PRO ! Gruppenrichtlinien GPO Einschränkungen

Frage von SachellenWindows Server6 Kommentare

Server: 2008 R2 Clients: 60 Thema: Umstellung auf Windows 10 Hallo liebe Mitglieder :) Entweder hasst man es oder ...

Exchange Server

Exchange 2007 + Einschränkung bei Nachrichtengröße

Frage von Fitzel69Exchange Server8 Kommentare

Hallo zusammen, anbei folgendes Problem: Wir setzen Outlook 2010 auf den Clients und als Server den Exchange 2007 ein. ...

Windows Server

"Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen,.Gruppenrichtlinien lokal - auch Admin betroffen

gelöst Frage von fidelio1Windows Server9 Kommentare

Hallo, wie die Überschrift schon sagt, habe ich n Bock geschossen. Lokal sollte keiner großartig etwas machen können (Ausführen ...

Windows Server

Einschränkung Programmzugriff Terminalserver

Frage von DerAllesMachenMussWindows Server12 Kommentare

Hallo zusammen, auf unserem Terminalserver (2012 R2) sind etwa 30 Benutzer angemeldet. Auf dem Server ist unter anderem Office ...

Neue Wissensbeiträge
Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 11 StundenHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 22 StundenSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 22 StundenWindows 101 Kommentar

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 1 TagCMS6 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1021 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Exchange Server
Outlook Anywhere - Anmeldefenster muss mit Domain gefüllt werden
Frage von leon123Exchange Server16 Kommentare

Hallo zusammen, ich habe relativ erfolgreich einen Exchange 2016 aufgesetzt, sowie ein SAN-Zertifikat eingespielt und Outlook Anywhere aktiviert. Beim ...

Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...