10
Windows 2016 Active Directory Admin User auf jeden Computer in Domäne
Hallo zusammen
Habe die Suchfunktion und google durchsucht, aber ich werde irgendwie nicht fündig.
Folgende Ausgangssituation:
Ich habe eine AD Domäne eingerichtet mit verschiedenen Benutzern und Benutzergruppen.
Die Benutzer sind in verschiedene Gruppen eingeteilt, welche nur die notwendigen Rechte haben.
Hat alles top funktioniert.
Problem:
Nun ist es so, dass ich gerne, da die Nutzer zum Teile sehr eingeschränkt sind was Software Installationen usw. angeht, einen lokalen Benutzer hätte, der diese Beschränkungen aufheben kann.
Also einen lokalen Admin. Und das am besten automatisch auf jedem Computer der sich bereits in der Domäne befindet bzw. auch welcher neu hinzugefügt wird.
Des weiteren soll es Benutzergruppen geben die von Haus aus mit lokalen Adminrechten ausgestattet sind. (Die wissen was sie tun User bzw. die brauchen es um zu Arbeiten User).
Die sollen am Computer machen können als wären sie Admins, aber eben nur auf dem Computer.
Die User sollten auch Software Installationen auf beschränkten Accounts mit deren Credentials freigeben können (falls das möglich ist).
Ich steh da echt auf dem Schlauch und komm nicht wirklich weiter, find auch nicht wirklich zielführende Infos wie ich das am besten angehe.
Ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.
Danke und Grüße
Flo
Habe die Suchfunktion und google durchsucht, aber ich werde irgendwie nicht fündig.
Folgende Ausgangssituation:
Ich habe eine AD Domäne eingerichtet mit verschiedenen Benutzern und Benutzergruppen.
Die Benutzer sind in verschiedene Gruppen eingeteilt, welche nur die notwendigen Rechte haben.
Hat alles top funktioniert.
Problem:
Nun ist es so, dass ich gerne, da die Nutzer zum Teile sehr eingeschränkt sind was Software Installationen usw. angeht, einen lokalen Benutzer hätte, der diese Beschränkungen aufheben kann.
Also einen lokalen Admin. Und das am besten automatisch auf jedem Computer der sich bereits in der Domäne befindet bzw. auch welcher neu hinzugefügt wird.
Des weiteren soll es Benutzergruppen geben die von Haus aus mit lokalen Adminrechten ausgestattet sind. (Die wissen was sie tun User bzw. die brauchen es um zu Arbeiten User).
Die sollen am Computer machen können als wären sie Admins, aber eben nur auf dem Computer.
Die User sollten auch Software Installationen auf beschränkten Accounts mit deren Credentials freigeben können (falls das möglich ist).
Ich steh da echt auf dem Schlauch und komm nicht wirklich weiter, find auch nicht wirklich zielführende Infos wie ich das am besten angehe.
Ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.
Danke und Grüße
Flo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 386619
Url: https://administrator.de/contentid/386619
Printed on: April 25, 2024 at 10:04 o'clock
10 Comments
Latest comment
Hallo,
Das machst Du über Gruppenrichtlinien.
Stichworte für den Suchanbieter Deines Vertrauens: gpo lokale administratoren
Grüße
lcer
Das machst Du über Gruppenrichtlinien.
Stichworte für den Suchanbieter Deines Vertrauens: gpo lokale administratoren
Grüße
lcer
Hi.
Lies mal Sicherer Umgang mit Supportkonten
Das ist meiner Ansicht nach das Beste, was Du tun kannst.
Lies mal Sicherer Umgang mit Supportkonten
Das ist meiner Ansicht nach das Beste, was Du tun kannst.
Hallo DerWoWusste
Das ist ein guter Ansatz.
Leider werden die Computer auch extern benutzt. (Homeoffice, Kunde, etc...)
Die Computer haben nicht immer Zugriff auf den DC.
Ich brauche wirklich einen lokalen Admin.
Und das auf jedem Rechner.
Trotzdem Danke. Scheint eine super Lösung zu sein die du da hast.
Das ist ein guter Ansatz.
Leider werden die Computer auch extern benutzt. (Homeoffice, Kunde, etc...)
Die Computer haben nicht immer Zugriff auf den DC.
Ich brauche wirklich einen lokalen Admin.
Und das auf jedem Rechner.
Trotzdem Danke. Scheint eine super Lösung zu sein die du da hast.
Hallo Icer00,
habe laut dieser Anleitung klick versucht einen lokalen Admin auf jeden Rechner zu übertragen.
Ich weiß nicht wo der Hund steckt...
Ich kriegs einfach nicht gebacken...
Sg
Florian
habe laut dieser Anleitung klick versucht einen lokalen Admin auf jeden Rechner zu übertragen.
Ich weiß nicht wo der Hund steckt...
Ich kriegs einfach nicht gebacken...
Sg
Florian
Die GPO muss auf den Computer angewendet werden. Dazu muss:
- die GPO auf eine OU verlinkt sein, die Computer und nicht Benutzer enthält
- der Computer die Gruppenrichtlinie auch übernehmen. Das erreichst Du am einfachsten mittels Neustart des Computers.
Überprüfen kann man das dann zum Beispiel so: https://www.tecchannel.de/a/windows-praxis-gruppenrichtlinien-ueberpruef ...
Grüße
lcer
- die GPO auf eine OU verlinkt sein, die Computer und nicht Benutzer enthält
- der Computer die Gruppenrichtlinie auch übernehmen. Das erreichst Du am einfachsten mittels Neustart des Computers.
Überprüfen kann man das dann zum Beispiel so: https://www.tecchannel.de/a/windows-praxis-gruppenrichtlinien-ueberpruef ...
Grüße
lcer
Sehr vereinfacht und passend für Dich, als Startskript oder immediate scheduled task deploybar
Du kannst hiernach die Adminkennwörter aus der zugehörigen Textdatei entnehmen und den Leuten bei Bedarf mitteilen. Sie sind zufällig gesetz und 8 Stellen lang. Für bessere Kennwörter, nimm das generatepassword-Powershellskript aus meinem Wissensbeitrag.
SecureShare sollte write-only für Computerkonten sein, lesbar nur für Admins.
net user /add admin /random>\\server\secureshare\%computername%.txt
net localgroup administratoren /add adminSecureShare sollte write-only für Computerkonten sein, lesbar nur für Admins.
Hier mal eine Alternative ohne separaten lokalen Admin.
Du kannst auf den Rechnern auch einfach den Domänen-Nutzer den das betrifft in die Lokale Gruppe "Administratoren" des Computers setzen. Damit ist dieser eine Benutzer lediglich auf diesem Rechner auch Administrator.
Du kannst auf den Rechnern auch einfach den Domänen-Nutzer den das betrifft in die Lokale Gruppe "Administratoren" des Computers setzen. Damit ist dieser eine Benutzer lediglich auf diesem Rechner auch Administrator.
@DerWoWusste sorry das ich den Thread nochmal aus der versenke hole. Mir stellt sich hier jedoch eine Frage: Gibt es bei den vielen Usern kein Problem mit UserCals? Ich mein, Microsoft wird sich sicher nicht drauf einlassen das die ja 99% der Zeit deaktiviert sind oder?
Hallo
User-Cals sind pro echten menschlichen Benutzer. Der dar aber so viele AD-Konten haber wie er will.
Grüße
lcer
User-Cals sind pro echten menschlichen Benutzer. Der dar aber so viele AD-Konten haber wie er will.
Grüße
lcer
Hallo,
@icer00 danke das wusste ich gar nicht, ich dachte das geht nach Benutzern im AD (Builtins ausgeschlossen)!
Weisst du wie das dann bei einer Prüfung abläuft?
Gruß
bloody
@icer00 danke das wusste ich gar nicht, ich dachte das geht nach Benutzern im AD (Builtins ausgeschlossen)!
Weisst du wie das dann bei einer Prüfung abläuft?
Gruß
bloody
