Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory User Berechtigungen für einen Server auf Admin Rechte anheben

Frage Microsoft Windows Server

Mitglied: Steven91

Steven91 (Level 1) - Jetzt verbinden

18.10.2006, aktualisiert 19.10.2006, 9264 Aufrufe, 14 Kommentare

Hallo!

ich möchte einigen Benutzern aus dem Active Directory Admin Rechte für nur einen Server geben. Und zwar ist das bei uns der Terminal Server.
Normalerweise hat die Gruppe Benutzer nur normale Benutzer Rechte, jedoch sollen Sie für diesen einen Server Admin Rechte haben.

Lässt sich das einrichten? Wenn ja, wie?
Gruss,
Stefan
Mitglied: Brandse
18.10.2006 um 09:28 Uhr
Warum will man sowas?

Auf einem Terminalserver Adminrechte für User vergeben?

Aber egal wie und warum, wenn man jemanden auf einem einzelnen Rechner Adminrechte geben will, reicht meist die Berechtigungsvergabe "Vollzugriff" auf allen Registryzweigen und den Systemordnern. (Sytem32 und so)

Ich hatte mal ein Problem mit Lexware Lohn und Gehalt. Das läuft echt nicht ohne Adminrechte. Sagt auch die Hotline, wenn man da jemanden erreicht. Schlau Programmiert! Da ich meinen Usern hier keine Adminrechte gebe, konnte ich das wie oben beschrieben lösen.

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
18.10.2006 um 09:34 Uhr
Danke erstmal !

leider reicht das nicht. Es gibt zwei Applikationen die im Admin Modus ausgeführt werden müssen. Daher brauche ich "richtige" Admin Rechte auf dem Terminal Server.
Bitte warten ..
Mitglied: Brandse
18.10.2006 um 09:37 Uhr
....was sind denn "echte" Adminrechte?
Ich denke mal, das Deine SW mit meiner Variante laufen sollte, ausser Du musst User anlegen/löschen lassen...

Oder hast Du schon mal über Runas nachgedacht?

Kleine Batch, per Runas startest Du Deine Anwendung in einem anderen Userkontext, dieser User hat lokale Adminrechte....

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
18.10.2006 um 09:45 Uhr
Ich möchte nix tricksen usw.

Ich will einfach nur wissen, ob man einer Gruppe Admin Rechte für einen Server geben kann:

Das man Runas oder sonst irgendwas nutzen kann, weiss ich auch.
Bitte warten ..
Mitglied: DEDINCA
18.10.2006 um 09:50 Uhr
Hallo,
Als Admin konfrontiert man sich oft mit diesem Problem, nur wenn man immer die einfachste Lösung nimmt (Adminrechte vergeben) rächt sich das irgendwann.
Besonderes ein Terminalserver sollte gut geschützt werden, denn das sind die Server indem die Benutzer sich direkt anmelden und Arbeiten.

Ich bevozuge immer die Analysemethode: Welche Zugriffe braucht die Anwendung, Registry, Dateien. Für diese Dateien oder Registrykeys würde ich dann die Berechtigungen ändern, meist reicht es ein "Ändernrecht".

Wenn man aber trotzdem (Um deine Bitte zu entsprechen) Adminrechte geben will dann sollte man so vorgehen.
1. Eine Domänen Sicherheitsgruppe erstellen und die Benutzer die diese Rechte haben sollten darin einfügen.

2. Eine OU Erstellen und den oder die Terminalserver darin einfügen

3. Eine Gruppenrichtlinie auf diese OU Verknüpfen (oder direkt erstellen) in der die Eingeschränkte Gruppen definiert sind
Wie man die Eingeschränkte Gruppen richtig definiert ist hier zu lesen:
http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berecht ...

Aber wie ich am anfang sagte, besonderes den Terminaldienste Benutzern würde ich keine Adminrechte erteilen.

Grüße
Dedinca
Bitte warten ..
Mitglied: montag01
18.10.2006 um 10:33 Uhr
google mal nach "Local Admin Manager" (mit Gänsefüschen!)
Vielleicht wäre das eine Lösung für dich?
Bitte warten ..
Mitglied: meinereiner
18.10.2006 um 22:50 Uhr
schmeiß den User/die Gruppe in die (lokale) Gruppe der Administratoren auf dem TS und gut ist.
Bitte warten ..
Mitglied: Brandse
19.10.2006 um 12:27 Uhr
schmeiß den User/die Gruppe in die
(lokale) Gruppe der Administratoren auf dem
TS und gut ist.




...bis jemand den Server runterfährt... Oder wichtige Einstellungen ändert.

Ein User sollte NIEMALS Adminrechte besitzen. Erst Recht nicht auf einem Terminalserver...
Das ist alles andere als Professionell.
Alleine schon weil jeder dann in die Userprofile der anderen User reinsehen kann...
Datenschutz? Dann nicht mehr!

Ich habe bisher jede SW zum laufen bekommen, auch ohne Adminrechte bei den Usern.

Gruß,
Brandse
Bitte warten ..
Mitglied: Steven91
19.10.2006 um 12:40 Uhr
Bleibt alle mal ganz locker!

Der Terminalserver ist nur intern, und 2. sitzen hier nur IT Fachkräfte.

Es ist eh keine Dauerlösung... also Ruhig Blut
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 13:13 Uhr
Ich habe bisher jede SW zum laufen bekommen,
auch ohne Adminrechte bei den Usern.

und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?

Auf die Gefahren wurde ja oft genug hingewiesen, da muss ich nicht auch noch ins Horn blasen.
Die Lösung von Dedinca ist schön sauber eingerichtet, ich frage mich nur, ob das Know How zum umsetzen da ist. Vielleicht sind noch nicht mal die Voraussetzungen vom OS da.

Deswegen von mir eine einfache Lösung, die liecht umzusetzen und verstehen ist.



aber mach mal nen Vorschlag wie ich eine Software auf dem TS zum Laufen bekomme, die Userspezifische Einstellungen in einer Datei ablegt, die im Systemroot liegt und immer gleich heisst.
Bitte warten ..
Mitglied: DEDINCA
19.10.2006 um 13:24 Uhr
aber mach mal nen Vorschlag wie ich eine
Software auf dem TS zum Laufen bekomme, die
Userspezifische Einstellungen in einer Datei
ablegt, die im Systemroot liegt und immer
gleich heisst.

Hallo,

Wenn man für den Terminaldienste Benutzer die Homeshare definiert (Terminaldienste homeshare), wird bei der Anmeldung des Benutzers auf sein Homeshare ein Ordner WINDOWS erstellt und gilt für sein Terminaldienste Session als Systemroot.

Wenn die Anwendung dann Benutzerbezogene Einstellungen vornimmt, werden diese im Homeshare des Benutzers gespeichert.

Diese lösung hat bei mir funktioniert, allerdings hat meine Anwendung dies glücklicherweise mitgemacht.

Gruß
Dedinca
Bitte warten ..
Mitglied: Brandse
19.10.2006 um 14:03 Uhr
und du kannst ihm übers Forum sagen, wie er das selbst hinbekommt, oder fährst hin?


Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 19:19 Uhr
Steht doch oben, oder?
Habe ich bereits beschrieben....
Und ein paar andere auch....

stimmt, ich hätte besser lesen sollen.
Ich hatte dir jetzt gute Ansätze unterstellt, aber deine Vorschläge geben den User über die HIntertür Adminrechte. Wenn man schon zusätzliche Rechte git, dann da wo es für die Applikation notwendig ist und nicht einfach überall. Regmon und Filemon von Sysinternals können da z.B. helfen.

zu deinem Runas Vorschlag: Könnte es seind, dass das Passwort in der Batch dann im Klartext steht?
Bitte warten ..
Mitglied: meinereiner
19.10.2006 um 19:22 Uhr
Diese lösung hat bei mir funktioniert,
allerdings hat meine Anwendung dies
glücklicherweise mitgemacht.


Die Applikation, die ich im Kopf habe nicht.
Aber ich wollte gar nicht die Lösung haben, sonder nur mal das "Ich habe noch jede SW ans laufen bekommen" hinterfragen.
Bitte warten ..
Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Datenbanken
SQL Server Berechtigungen für User Mapping automatisch vergeben (1)

Frage von twisters zum Thema Datenbanken ...

Windows Server
gelöst Active Directory Report (7)

Frage von mah0ni zum Thema Windows Server ...

Windows Userverwaltung
Active Directory - OU Anordnung und Aufbau (9)

Frage von nightwishler zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Humor (lol)

Wo ist der Fehler auf dem Bild?

(2)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Proxy Server Settings Cloud + EWS (17)

Frage von SomebodyToLove zum Thema Exchange Server ...

Windows Server
PDF Editor für den Einsatz auf Terminal Servern (16)

Frage von kwame501 zum Thema Windows Server ...

Windows Installation
Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen (14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Virtualisierung
Unterschied zwischen VDI und Terminal Server Lösungen (13)

Frage von tukawi06 zum Thema Virtualisierung ...