11
Ich als Domänen-Admin brauche auf jedem Client lokale Admin-Rechte
Hallo zusammen,
momentan hänge ich an folgendem Problem:
Ich muss überall lokaler Admin sein, um Asset-Management durchzuführen:
das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.
Ich möchte es aber nicht lokal tun, möchte es über den Server machen.
Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).
Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.
Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das? Wenn ja wo finde ich den Regeintrag? (Wer ist in der Admingruppe? Wie setze ich mich nun darein)
Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.
Viele Grüße
Hoffe mir kann einer helfen
das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.
Ich möchte es aber nicht lokal tun, möchte es über den Server machen.
Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).
Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.
Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das? Wenn ja wo finde ich den Regeintrag? (Wer ist in der Admingruppe? Wie setze ich mich nun darein)
Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.
Viele Grüße
Hoffe mir kann einer helfen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189728
Url: https://administrator.de/contentid/189728
Printed on: April 26, 2024 at 11:04 o'clock
11 Comments
Latest comment
Hi.
Domänenadmins sind per default in der Admingruppe eines jeden Domänencomputers. Wenn nicht, hat selbiger sich selbst rausgenommen ;) Oder ein lokaler Admin hat es getan. normalerweise also kein handlungsbedarf. Wenn doch, mach Dich mit "restricted groups" vertraut.
Domänenadmins sind per default in der Admingruppe eines jeden Domänencomputers. Wenn nicht, hat selbiger sich selbst rausgenommen ;) Oder ein lokaler Admin hat es getan. normalerweise also kein handlungsbedarf. Wenn doch, mach Dich mit "restricted groups" vertraut.
Hi,
was hast du denn für eine Domäne? Eine Windows oder eine Samba Domäne? Normal solltest du als Domänen-Admin wie schon DerWoWusste geschrieben hat, überall lokaler Admin sein. Im Idealfall haben die Anwender dann auch keine Admin-Rechte auf den Rechnern, das würde bei uns zu einem totalen Chaos führen.
Wenn du eine Windows-Domäne hast und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten lassen, dass geht halt nur, wenn es Silent-Parameter besitzt.
Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
was hast du denn für eine Domäne? Eine Windows oder eine Samba Domäne? Normal solltest du als Domänen-Admin wie schon DerWoWusste geschrieben hat, überall lokaler Admin sein. Im Idealfall haben die Anwender dann auch keine Admin-Rechte auf den Rechnern, das würde bei uns zu einem totalen Chaos führen.
Wenn du eine Windows-Domäne hast und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten lassen, dass geht halt nur, wenn es Silent-Parameter besitzt.
Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
moin,
das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.
Gruß
@ rex...
N8
- "ich" bin bei uns derjenige welcher die Domain gebaut hat und ich warte die auch.
- "Ich" bin aber trotzdem kein Admin oder gar Domainadmin - und trotzdem funkt alles...
das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.
- das wäre (s.o) beim Domain Join aber eh passiert.
Ich möchte es aber nicht lokal tun, möchte es über den Server machen.
- ich machs auch ungern im lokal, ich machs gern mit der Serv
iererinbei ihr zuhause.
Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).
- Tham von Tham Tham?
- Bist "du" der Tham Tham von der Userdomain?
Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.
- dann nimm ne C# Datei.. wtf - ich dachte nicht, dass man zum Problem beschreiben nen Doctor Titel braucht
Nun möchte ich noch versuchen das ganze über die Registry zu tun.
Geht das?- wenn "du" die nötigen Rechte hast...
Wenn ja wo finde ich den Regeintrag?
- rechts oben - neben der Mitte - ganz links und dann oben rechts, der fett geschriebene ist es...
- (Wer ist in der Admingruppe? Wie setze ich mich nun darein)
- garnicht
Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.
Viele Grüße
Hoffe mir kann einer helfen
Viele Grüße
Hoffe mir kann einer helfen
- Hoffe du bist nicht eingeschnappt und liesst deine Frage mal durch und schreibst das so das man da auch ohne Kristall hätte wenn und aber ider vielleicht und sicher antworten kann.
Gruß
@ rex...
Wenn du eine Windows-Domäne hast
- er hat doch GPO hingemalt..
und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten
- eine MSI ist eine Installationsdatei - also das er das "installieren" will, das hab ich da nicht gelesen...
Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
- wo liesst du sein verwendetes OS raus? - und nein "faul" muß da keiner sein, aber wenn kein Feedback zurückkäme, dann hätte ich ne Vermutung....
N8
Hi Leute,
ich glaube, ihr habt den Beitrag des TO nicht korrekt gelesen
Ich würde dies ändern.
ich glaube, ihr habt den Beitrag des TO nicht korrekt gelesen
Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner.
Seine Rechner scheinen nicht zur Domäne zu gehören.Ich würde dies ändern.
Hallo,
Gruß
Filipp
leider sind in der besagten Domäne nur die User, nicht die Rechner.
Aber ich hoffe jetzt doch, dass die Rechner dafür in einem anderen (getrusteten) AD sind, ansonsten würde ich jetzt an deiner oder meiner Verstandeskraft zweifeln müssen. Schonmal mit den dortigen Admins gesprochen?Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das?
Äh... angenommen es geht (über Registry oder sonstwie Batch bla bla bla): Um jemand wie-auch-immer zum lokalen Admin zu machen, muss man selber lokaler Admin sein. Alles andere wäre unzulässige Rights Elevation und somit eine Sicherheitslücke. Ausnahme: Eine Änderung, die nicht auf dem Client selber durchgeführt wird, sondern in der Domäne - z.B. hinzufügen eines Nutzers in eine Domänengruppe, die lokale Admingruppe ist, oder GPOs.Gruß
Filipp
In jeder Windows Domäne gibt es C$-Freigaben, dass war schon immer so und wird immer so sein, außer diese wurden via GPO oder Batch oder was auch immer deaktiviert. Wenn du ne SAMBA-Domäne hast, kannst du auch bestimmte Einstellungen als GPO-Nachbaute auf den Clients verteilen, nur halt nicht so umfangreich, wie in ner Windows-Domäne.
Und du kannst mit einer Softwareverteilungsrichtlinie eine MSI nur ausführen, was die MSI damit macht, steht im Programm drin. Ich habe so zum Beispiel eine MSI von Specops Deploy/Apps ausgerollt, die nur ausgeführt werden musste und danach ein Attribut im AD geändert hat, es geht sehr wohl auch ohne, dass sich das Tool installiert.
Edit: Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann ist da entweder im Trust was nicht richtig, also der Rechner wurde mit einer Backupsoftware zurückgespielt und die DCs trauen dem nicht mehr, oder die Rechner sind nicht richtig in der AD eingebunden oder garnicht.
Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.
Und du kannst mit einer Softwareverteilungsrichtlinie eine MSI nur ausführen, was die MSI damit macht, steht im Programm drin. Ich habe so zum Beispiel eine MSI von Specops Deploy/Apps ausgerollt, die nur ausgeführt werden musste und danach ein Attribut im AD geändert hat, es geht sehr wohl auch ohne, dass sich das Tool installiert.
Edit: Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann ist da entweder im Trust was nicht richtig, also der Rechner wurde mit einer Backupsoftware zurückgespielt und die DCs trauen dem nicht mehr, oder die Rechner sind nicht richtig in der AD eingebunden oder garnicht.
Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.
Moin Phyrexian.
Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann...
...ist evtl. gar nichts verkehrt. Denn seit Vista (und natürlich auch win7) ist c$ standardmäßig nicht mehr zu erreichen, siehe beispielsweise http://www.jimmah.com/vista/content.aspx?id=6
Wir haben in unserer Domäne von ca. 500 Usern und einem Schulungszentrum mit 150 PCs und Notebooks auf Windows 7 migriert, die C$-Freigabe funktioniert tadellos. Wir haben diese auch nicht via GPO nachgepflegt oder ähnliches.
Edit: Es kann sein, dass dies nicht geht, wenn die Windows-Firewall das Netzwerk nicht als Domänen-Netzwerk erkennt, dann wäre aber wieder eine andere Einstellung
nicht richtig bzw. das DNS ist nicht sauber.
Edit: Es kann sein, dass dies nicht geht, wenn die Windows-Firewall das Netzwerk nicht als Domänen-Netzwerk erkennt, dann wäre aber wieder eine andere Einstellung
nicht richtig bzw. das DNS ist nicht sauber.
und die UAC ist an/an und auf höchster Stufe/aus?
Die UAC steht bei uns auf dem Standard-Wert der bei der Installation mitgegeben wird, das ist echt klasse, wenn man als eingeschränkter User nen Tool mit Adminrechten ausführen möchte, weil er dann automatisch nach Logindaten fragt
Moinsen,
Sei mir nicht boese, wennn ich mir nur diese eine zeile zum verzehr vorgenommen habe, ich bin zu satt fuer den rest....
Wer fragt hier wen?
Und wer hat gegenfragen, weil die fragestellung etwas undurchsichtig ist?
Entweder hast du nen doppelaccount, oder der to liegt mit kaulquappenseuche auf station 17 oder dessen mailkonto /internetzugang ist voll/defekt.
Und nein - ich kenne xxxx admins, die 100.000 user und 3 trilliarden kisten verwalten und schon ganz von alleine @echo off in ungeteste batche reinmalen koennen, fuer mehr reichts dann meistens nicht mehr...
Lass uns nicht auf diesem niveau hier versacken, denn mein 2. Name ist knecht ruprecht....
N8
Zitat von @83466:
Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.
Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.
Sei mir nicht boese, wennn ich mir nur diese eine zeile zum verzehr vorgenommen habe, ich bin zu satt fuer den rest....
Wer fragt hier wen?
Und wer hat gegenfragen, weil die fragestellung etwas undurchsichtig ist?
Entweder hast du nen doppelaccount, oder der to liegt mit kaulquappenseuche auf station 17 oder dessen mailkonto /internetzugang ist voll/defekt.
Und nein - ich kenne xxxx admins, die 100.000 user und 3 trilliarden kisten verwalten und schon ganz von alleine @echo off in ungeteste batche reinmalen koennen, fuer mehr reichts dann meistens nicht mehr...
Lass uns nicht auf diesem niveau hier versacken, denn mein 2. Name ist knecht ruprecht....
N8