5
AD-Useraccount bei Anmeldung an Windows automatisch lokal anlegen.
Ich hoffe ich habe das richtige Forum gewählt...
Folgendes Szenario:
Windows 2003 Server. Ich lege einen neuen Benutzer im AD an und wenn dieser sich an einem beliebigen Rechner im AD anmeldet, soll für diesen User automatisch ein lokaler Benutzer mit Administrativen Rechten (lokal) auf dem Rechner angelget werden. Das ist ja normalerweise nicht der Fall, da man das manuell machen muss.
Hat da evtl. jemand ein praktische Lösung? Vielleicht sogar über eine GPO, oder ein Skript?
Wichtig ist, dass der Benutzer lokal am Rechner eingerichtet wird. Die Rechte könnte man (falls das nicht automatisch geht) ja über eine GPO beeinflussen.
Viele Grüße
Markus
Folgendes Szenario:
Windows 2003 Server. Ich lege einen neuen Benutzer im AD an und wenn dieser sich an einem beliebigen Rechner im AD anmeldet, soll für diesen User automatisch ein lokaler Benutzer mit Administrativen Rechten (lokal) auf dem Rechner angelget werden. Das ist ja normalerweise nicht der Fall, da man das manuell machen muss.
Hat da evtl. jemand ein praktische Lösung? Vielleicht sogar über eine GPO, oder ein Skript?
Wichtig ist, dass der Benutzer lokal am Rechner eingerichtet wird. Die Rechte könnte man (falls das nicht automatisch geht) ja über eine GPO beeinflussen.
Viele Grüße
Markus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 139683
Url: https://administrator.de/contentid/139683
Printed on: April 16, 2024 at 09:04 o'clock
5 Comments
Latest comment
Moin,
nur aus Intresse: Welchen Sinn soll das ganze haben? Ich habe doch extra die Domain damit der User sich daran anmeldet.
Warum möchtest du automatisch noch ein zusatzkonto erstellen - welches ja dann nicht das Domänen-PW hat und auch ne andere SSID....
nur aus Intresse: Welchen Sinn soll das ganze haben? Ich habe doch extra die Domain damit der User sich daran anmeldet.
Warum möchtest du automatisch noch ein zusatzkonto erstellen - welches ja dann nicht das Domänen-PW hat und auch ne andere SSID....
Hi,
da hab ich mich wohl unverständlich ausgedrückt sorry.
Normalerweise ist es ja so, der AD-User wird im Windows lokal angelegt, damit er ja ebenfalls Eigene Datein usw hat.
Ich kann ja einen neuen Benutzer (am Win Client) anlegen und dann die Domäne und den entsprechenden User auswählen. Der Domänenuser hat auf Basis seiner Domäneninformationen ein lokales Konto auf dem Rechner.
Der User kann sich dann ganz normal mit Domänen-Login und PW anmelden und hat auch sein lokales Profil.
Dieses lokale Profil wird nicht automatisch erstellt, möchte ich aber
Gruß
Markus
da hab ich mich wohl unverständlich ausgedrückt sorry.
Normalerweise ist es ja so, der AD-User wird im Windows lokal angelegt, damit er ja ebenfalls Eigene Datein usw hat.
Ich kann ja einen neuen Benutzer (am Win Client) anlegen und dann die Domäne und den entsprechenden User auswählen. Der Domänenuser hat auf Basis seiner Domäneninformationen ein lokales Konto auf dem Rechner.
Der User kann sich dann ganz normal mit Domänen-Login und PW anmelden und hat auch sein lokales Profil.
Dieses lokale Profil wird nicht automatisch erstellt, möchte ich aber
Gruß
Markus
Du musst hier folgendes Unterscheiden:
Benutzer und Benutzerprofile
Wenn sich ein Domänenuser an einem Rechner anmeldet wird ein Benutzerprofil für den User angelegt. Es wird kein lokaler User angelegt. Wäre auch sinnlos.
Wenn du verwirklichen willst das angemeldete User automatisch lokale Asminrechte hat, kannst du das über GPO (Stichwort: eingeschränkte Gruppen) erledigen.
Jedoch halte ich dies wirklich nicht als sinvoll.
Benutzer und Benutzerprofile
Wenn sich ein Domänenuser an einem Rechner anmeldet wird ein Benutzerprofil für den User angelegt. Es wird kein lokaler User angelegt. Wäre auch sinnlos.
Wenn du verwirklichen willst das angemeldete User automatisch lokale Asminrechte hat, kannst du das über GPO (Stichwort: eingeschränkte Gruppen) erledigen.
Jedoch halte ich dies wirklich nicht als sinvoll.
Moin,
wenn sich ein DomainUser auf einem Client anmeldet (erstmalig überhaupt im AD) wird auf der Basis des default Profile dessen lokales Profil erstellt und (falls man servergespeicherte Profile benutzt) beim Abmelden auf dem Server zurückgeschrieben. Du brauchst also keinen lokalen User...
Dieses Verhalten kannst Du u.a. auch nutzen, ob sich dieser User jemals auf diesem PC angemeldet hat...
zum local Admin kam schon genug
Gruß
24
wenn sich ein DomainUser auf einem Client anmeldet (erstmalig überhaupt im AD) wird auf der Basis des default Profile dessen lokales Profil erstellt und (falls man servergespeicherte Profile benutzt) beim Abmelden auf dem Server zurückgeschrieben. Du brauchst also keinen lokalen User...
Dieses Verhalten kannst Du u.a. auch nutzen, ob sich dieser User jemals auf diesem PC angemeldet hat...
zum local Admin kam schon genug
Gruß
24
Moin,
nein, wenn du einen AD-User hast wird der nich in Windows angelegt. Das wäre nicht nur Sinnlos sondern im gegenteil sogar grade das was man nicht will ... (Ich sperre dann den User im AD und der arbeitet fröhlich-munter mit dem lokalen Acc weiter...).
Die Profile haben m.E. ebenfalls auf dem Server zu verbleiben (-> Servergespeicherte Profile). Arbeitest du mit lokalen Profilen biete ich dir jetzt mal nen Blick in meine Glaskugel: In 2 Jahren kommt $Chef zu dir an und sagt das seine Festplatte kaputt ist. Leider hat er sämtliche Personal-Daten auf Eigene Dateien gehabt - damit da keiner reingucken kann. Entweder machst du also ne Vollsicherung jedes PCs - was unsinn ist - oder du nimmst Servergespeicherte Profile und gehst in 2 Jahren hin, Chef meldet sich am neuen Rechner an und hat alle seine daten wieder...
Von daher kann ich von dem Vorhaben nur abraten... Dann lieber die Profilgröße auf $X MB/GB festlegen - und generell den Leuten sagen das die dort nicht zu speichern haben...
nein, wenn du einen AD-User hast wird der nich in Windows angelegt. Das wäre nicht nur Sinnlos sondern im gegenteil sogar grade das was man nicht will ... (Ich sperre dann den User im AD und der arbeitet fröhlich-munter mit dem lokalen Acc weiter...).
Die Profile haben m.E. ebenfalls auf dem Server zu verbleiben (-> Servergespeicherte Profile). Arbeitest du mit lokalen Profilen biete ich dir jetzt mal nen Blick in meine Glaskugel: In 2 Jahren kommt $Chef zu dir an und sagt das seine Festplatte kaputt ist. Leider hat er sämtliche Personal-Daten auf Eigene Dateien gehabt - damit da keiner reingucken kann. Entweder machst du also ne Vollsicherung jedes PCs - was unsinn ist - oder du nimmst Servergespeicherte Profile und gehst in 2 Jahren hin, Chef meldet sich am neuen Rechner an und hat alle seine daten wieder...
Von daher kann ich von dem Vorhaben nur abraten... Dann lieber die Profilgröße auf $X MB/GB festlegen - und generell den Leuten sagen das die dort nicht zu speichern haben...