Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory User Berechtigungen für einen Server auf Admin Rechte anheben

Frage Microsoft Windows Server

Mitglied: Steven91

Steven91 (Level 1) - Jetzt verbinden

18.10.2006, aktualisiert 19.10.2006, 9057 Aufrufe, 14 Kommentare

Hallo!

ich möchte einigen Benutzern aus dem Active Directory Admin Rechte für nur einen Server geben. Und zwar ist das bei uns der Terminal Server.
Normalerweise hat die Gruppe Benutzer nur normale Benutzer Rechte, jedoch sollen Sie für diesen einen Server Admin Rechte haben.

Lässt sich das einrichten? Wenn ja, wie?
Gruss,
Stefan
Mitglied: Brandse
18.10.2006 um 09:28 Uhr
Warum will man sowas?

Auf einem Terminalserver Adminrechte für User vergeben?

Aber egal wie und warum, wenn man jemanden auf einem einzelnen Rechner Adminrechte geben will, reicht meist die Berechtigungsvergabe "Vollzugriff" auf allen Registryzweigen und den Systemordnern. (Sytem32 und so)

Ich hatte mal ein Problem mit Lexware Lohn und Gehalt. Das läuft echt nicht ohne Adminrechte. Sagt auch die Hotline, wenn man da jemanden erreicht. Schlau Programmiert! Da ich meinen Usern hier keine Adminrechte gebe, konnte ich das wie oben beschrieben lösen.

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
18.10.2006 um 09:34 Uhr
Danke erstmal !

leider reicht das nicht. Es gibt zwei Applikationen die im Admin Modus ausgeführt werden müssen. Daher brauche ich "richtige" Admin Rechte auf dem Terminal Server.
Bitte warten ..
Mitglied: Brandse
18.10.2006 um 09:37 Uhr
....was sind denn "echte" Adminrechte?
Ich denke mal, das Deine SW mit meiner Variante laufen sollte, ausser Du musst User anlegen/löschen lassen...

Oder hast Du schon mal über Runas nachgedacht?

Kleine Batch, per Runas startest Du Deine Anwendung in einem anderen Userkontext, dieser User hat lokale Adminrechte....

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
18.10.2006 um 09:45 Uhr
Ich möchte nix tricksen usw.

Ich will einfach nur wissen, ob man einer Gruppe Admin Rechte für einen Server geben kann:

Das man Runas oder sonst irgendwas nutzen kann, weiss ich auch.
Bitte warten ..
Mitglied: DEDINCA
18.10.2006 um 09:50 Uhr
Hallo,
Als Admin konfrontiert man sich oft mit diesem Problem, nur wenn man immer die einfachste Lösung nimmt (Adminrechte vergeben) rächt sich das irgendwann.
Besonderes ein Terminalserver sollte gut geschützt werden, denn das sind die Server indem die Benutzer sich direkt anmelden und Arbeiten.

Ich bevozuge immer die Analysemethode: Welche Zugriffe braucht die Anwendung, Registry, Dateien. Für diese Dateien oder Registrykeys würde ich dann die Berechtigungen ändern, meist reicht es ein "Ändernrecht".

Wenn man aber trotzdem (Um deine Bitte zu entsprechen) Adminrechte geben will dann sollte man so vorgehen.
1. Eine Domänen Sicherheitsgruppe erstellen und die Benutzer die diese Rechte haben sollten darin einfügen.

2. Eine OU Erstellen und den oder die Terminalserver darin einfügen

3. Eine Gruppenrichtlinie auf diese OU Verknüpfen (oder direkt erstellen) in der die Eingeschränkte Gruppen definiert sind
Wie man die Eingeschränkte Gruppen richtig definiert ist hier zu lesen:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...

Aber wie ich am anfang sagte, besonderes den Terminaldienste Benutzern würde ich keine Adminrechte erteilen.

Grüße
Dedinca
Bitte warten ..
Mitglied: montag01
18.10.2006 um 10:33 Uhr
google mal nach "Local Admin Manager" (mit Gänsefüschen!)
Vielleicht wäre das eine Lösung für dich?
Bitte warten ..
Mitglied: meinereiner
18.10.2006 um 22:50 Uhr
schmeiß den User/die Gruppe in die (lokale) Gruppe der Administratoren auf dem TS und gut ist.
Bitte warten ..
Mitglied: Brandse
19.10.2006 um 12:27 Uhr
schmeiß den User/die Gruppe in die
(lokale) Gruppe der Administratoren auf dem
TS und gut ist.




...bis jemand den Server runterfährt... Oder wichtige Einstellungen ändert.

Ein User sollte NIEMALS Adminrechte besitzen. Erst Recht nicht auf einem Terminalserver...
Das ist alles andere als Professionell.
Alleine schon weil jeder dann in die Userprofile der anderen User reinsehen kann...
Datenschutz? Dann nicht mehr!

Ich habe bisher jede SW zum laufen bekommen, auch ohne Adminrechte bei den Usern.

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
19.10.2006 um 12:40 Uhr
Bleibt alle mal ganz locker!

Der Terminalserver ist nur intern, und 2. sitzen hier nur IT Fachkräfte.

Es ist eh keine Dauerlösung... also Ruhig Blut
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 13:13 Uhr
Ich habe bisher jede SW zum laufen bekommen,
auch ohne Adminrechte bei den Usern.

und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?

Auf die Gefahren wurde ja oft genug hingewiesen, da muss ich nicht auch noch ins Horn blasen.
Die Lösung von Dedinca ist schön sauber eingerichtet, ich frage mich nur, ob das Know How zum umsetzen da ist. Vielleicht sind noch nicht mal die Voraussetzungen vom OS da.

Deswegen von mir eine einfache Lösung, die liecht umzusetzen und verstehen ist.



aber mach mal nen Vorschlag wie ich eine Software auf dem TS zum Laufen bekomme, die Userspezifische Einstellungen in einer Datei ablegt, die im Systemroot liegt und immer gleich heisst.
Bitte warten ..
Mitglied: DEDINCA
19.10.2006 um 13:24 Uhr
aber mach mal nen Vorschlag wie ich eine
Software auf dem TS zum Laufen bekomme, die
Userspezifische Einstellungen in einer Datei
ablegt, die im Systemroot liegt und immer
gleich heisst.

Hallo,

Wenn man für den Terminaldienste Benutzer die Homeshare definiert (Terminaldienste homeshare), wird bei der Anmeldung des Benutzers auf sein Homeshare ein Ordner WINDOWS erstellt und gilt für sein Terminaldienste Session als Systemroot.

Wenn die Anwendung dann Benutzerbezogene Einstellungen vornimmt, werden diese im Homeshare des Benutzers gespeichert.

Diese lösung hat bei mir funktioniert, allerdings hat meine Anwendung dies glücklicherweise mitgemacht.

Gruß
Dedinca
Bitte warten ..
Mitglied: Brandse
19.10.2006 um 14:03 Uhr
und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?


Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 19:19 Uhr
Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....

stimmt, ich hätte besser lesen sollen.
Ich hatte dir jetzt gute Ansätze unterstellt, aber deine Vorschläge geben den User über die HIntertür Adminrechte. Wenn man schon zusätzliche Rechte git, dann da wo es für die Applikation notwendig ist und nicht einfach überall. Regmon und Filemon von Sysinternals können da z.B. helfen.

zu deinem Runas Vorschlag: Könnte es seind, dass das Passwort in der Batch dann im Klartext steht?
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 19:22 Uhr
Diese lösung hat bei mir funktioniert,
allerdings hat meine Anwendung dies
glücklicherweise mitgemacht.


Die Applikation, die ich im Kopf habe nicht.
Aber ich wollte gar nicht die Lösung haben, sonder nur mal das "Ich habe noch jede SW ans laufen bekommen" hinterfragen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Active Directory User löschen inkl Profilordner (23)

Frage von aif-get zum Thema Windows Server ...

Windows Netzwerk
gelöst Schnelle Hilfe gefragt - Active Directory Rechte übertragen (von Server zu Server) (14)

Frage von miscmike zum Thema Windows Netzwerk ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...