Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory User Berechtigungen für einen Server auf Admin Rechte anheben

Frage Microsoft Windows Server

Mitglied: Steven91

Steven91 (Level 1) - Jetzt verbinden

18.10.2006, aktualisiert 19.10.2006, 9328 Aufrufe, 14 Kommentare

Hallo!

ich möchte einigen Benutzern aus dem Active Directory Admin Rechte für nur einen Server geben. Und zwar ist das bei uns der Terminal Server.
Normalerweise hat die Gruppe Benutzer nur normale Benutzer Rechte, jedoch sollen Sie für diesen einen Server Admin Rechte haben.

Lässt sich das einrichten? Wenn ja, wie?
Gruss,
Stefan
Mitglied: Brandse
18.10.2006 um 09:28 Uhr
Warum will man sowas?

Auf einem Terminalserver Adminrechte für User vergeben?

Aber egal wie und warum, wenn man jemanden auf einem einzelnen Rechner Adminrechte geben will, reicht meist die Berechtigungsvergabe "Vollzugriff" auf allen Registryzweigen und den Systemordnern. (Sytem32 und so)

Ich hatte mal ein Problem mit Lexware Lohn und Gehalt. Das läuft echt nicht ohne Adminrechte. Sagt auch die Hotline, wenn man da jemanden erreicht. Schlau Programmiert! Da ich meinen Usern hier keine Adminrechte gebe, konnte ich das wie oben beschrieben lösen.

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
18.10.2006 um 09:34 Uhr
Danke erstmal !

leider reicht das nicht. Es gibt zwei Applikationen die im Admin Modus ausgeführt werden müssen. Daher brauche ich "richtige" Admin Rechte auf dem Terminal Server.
Bitte warten ..
Mitglied: Brandse
18.10.2006 um 09:37 Uhr
....was sind denn "echte" Adminrechte?
Ich denke mal, das Deine SW mit meiner Variante laufen sollte, ausser Du musst User anlegen/löschen lassen...

Oder hast Du schon mal über Runas nachgedacht?

Kleine Batch, per Runas startest Du Deine Anwendung in einem anderen Userkontext, dieser User hat lokale Adminrechte....

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
18.10.2006 um 09:45 Uhr
Ich möchte nix tricksen usw.

Ich will einfach nur wissen, ob man einer Gruppe Admin Rechte für einen Server geben kann:

Das man Runas oder sonst irgendwas nutzen kann, weiss ich auch.
Bitte warten ..
Mitglied: DEDINCA
18.10.2006 um 09:50 Uhr
Hallo,
Als Admin konfrontiert man sich oft mit diesem Problem, nur wenn man immer die einfachste Lösung nimmt (Adminrechte vergeben) rächt sich das irgendwann.
Besonderes ein Terminalserver sollte gut geschützt werden, denn das sind die Server indem die Benutzer sich direkt anmelden und Arbeiten.

Ich bevozuge immer die Analysemethode: Welche Zugriffe braucht die Anwendung, Registry, Dateien. Für diese Dateien oder Registrykeys würde ich dann die Berechtigungen ändern, meist reicht es ein "Ändernrecht".

Wenn man aber trotzdem (Um deine Bitte zu entsprechen) Adminrechte geben will dann sollte man so vorgehen.
1. Eine Domänen Sicherheitsgruppe erstellen und die Benutzer die diese Rechte haben sollten darin einfügen.

2. Eine OU Erstellen und den oder die Terminalserver darin einfügen

3. Eine Gruppenrichtlinie auf diese OU Verknüpfen (oder direkt erstellen) in der die Eingeschränkte Gruppen definiert sind
Wie man die Eingeschränkte Gruppen richtig definiert ist hier zu lesen:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...

Aber wie ich am anfang sagte, besonderes den Terminaldienste Benutzern würde ich keine Adminrechte erteilen.

Grüße
Dedinca
Bitte warten ..
Mitglied: montag01
18.10.2006 um 10:33 Uhr
google mal nach "Local Admin Manager" (mit Gänsefüschen!)
Vielleicht wäre das eine Lösung für dich?
Bitte warten ..
Mitglied: meinereiner
18.10.2006 um 22:50 Uhr
schmeiß den User/die Gruppe in die (lokale) Gruppe der Administratoren auf dem TS und gut ist.
Bitte warten ..
Mitglied: Brandse
19.10.2006 um 12:27 Uhr
schmeiß den User/die Gruppe in die
(lokale) Gruppe der Administratoren auf dem
TS und gut ist.




...bis jemand den Server runterfährt... Oder wichtige Einstellungen ändert.

Ein User sollte NIEMALS Adminrechte besitzen. Erst Recht nicht auf einem Terminalserver...
Das ist alles andere als Professionell.
Alleine schon weil jeder dann in die Userprofile der anderen User reinsehen kann...
Datenschutz? Dann nicht mehr!

Ich habe bisher jede SW zum laufen bekommen, auch ohne Adminrechte bei den Usern.

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
19.10.2006 um 12:40 Uhr
Bleibt alle mal ganz locker!

Der Terminalserver ist nur intern, und 2. sitzen hier nur IT Fachkräfte.

Es ist eh keine Dauerlösung... also Ruhig Blut
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 13:13 Uhr
Ich habe bisher jede SW zum laufen bekommen,
auch ohne Adminrechte bei den Usern.

und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?

Auf die Gefahren wurde ja oft genug hingewiesen, da muss ich nicht auch noch ins Horn blasen.
Die Lösung von Dedinca ist schön sauber eingerichtet, ich frage mich nur, ob das Know How zum umsetzen da ist. Vielleicht sind noch nicht mal die Voraussetzungen vom OS da.

Deswegen von mir eine einfache Lösung, die liecht umzusetzen und verstehen ist.



aber mach mal nen Vorschlag wie ich eine Software auf dem TS zum Laufen bekomme, die Userspezifische Einstellungen in einer Datei ablegt, die im Systemroot liegt und immer gleich heisst.
Bitte warten ..
Mitglied: DEDINCA
19.10.2006 um 13:24 Uhr
aber mach mal nen Vorschlag wie ich eine
Software auf dem TS zum Laufen bekomme, die
Userspezifische Einstellungen in einer Datei
ablegt, die im Systemroot liegt und immer
gleich heisst.

Hallo,

Wenn man für den Terminaldienste Benutzer die Homeshare definiert (Terminaldienste homeshare), wird bei der Anmeldung des Benutzers auf sein Homeshare ein Ordner WINDOWS erstellt und gilt für sein Terminaldienste Session als Systemroot.

Wenn die Anwendung dann Benutzerbezogene Einstellungen vornimmt, werden diese im Homeshare des Benutzers gespeichert.

Diese lösung hat bei mir funktioniert, allerdings hat meine Anwendung dies glücklicherweise mitgemacht.

Gruß
Dedinca
Bitte warten ..
Mitglied: Brandse
19.10.2006 um 14:03 Uhr
und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?


Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 19:19 Uhr
Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....

stimmt, ich hätte besser lesen sollen.
Ich hatte dir jetzt gute Ansätze unterstellt, aber deine Vorschläge geben den User über die HIntertür Adminrechte. Wenn man schon zusätzliche Rechte git, dann da wo es für die Applikation notwendig ist und nicht einfach überall. Regmon und Filemon von Sysinternals können da z.B. helfen.

zu deinem Runas Vorschlag: Könnte es seind, dass das Passwort in der Batch dann im Klartext steht?
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 19:22 Uhr
Diese lösung hat bei mir funktioniert,
allerdings hat meine Anwendung dies
glücklicherweise mitgemacht.


Die Applikation, die ich im Kopf habe nicht.
Aber ich wollte gar nicht die Lösung haben, sonder nur mal das "Ich habe noch jede SW ans laufen bekommen" hinterfragen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory Benutzer ohne Login-Recht
Frage von gubbeldigubWindows Server4 Kommentare

Hallo, ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory ...

Datenschutz
CMD - Admin Check - User mit Admin Rechten finden
Anleitung von K-ist-KDatenschutz8 Kommentare

Hallo Werte IT Kollegen, hier ein kleines Script womit man heraus findet ob ein User Admin Rechte hat. Wenn ...

Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User
Frage von M.MarzWindows Systemdateien10 Kommentare

Hallo zusammen, ich würde gerne die NTFS-Berechtigung in einer Ordnerfreigabe anpassen, da sich die Konfigs zerschossen haben. Da ich ...

Windows Server
Active Directory User Modified Eintrag
Frage von agnostikerWindows Server2 Kommentare

Hi, wenn wir auf unseren DCs unsere User bearbeiten mittels AD Users and Computers haben wir festgestellt das sich ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 19 StundenMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 21 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 22 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner13 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...