Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ich als Domänen-Admin brauche auf jedem Client lokale Admin-Rechte

Frage Microsoft Windows Userverwaltung

Mitglied: haiqualle

haiqualle (Level 1) - Jetzt verbinden

16.08.2012 um 16:35 Uhr, 5436 Aufrufe, 11 Kommentare

Hallo zusammen,

momentan hänge ich an folgendem Problem:

Ich muss überall lokaler Admin sein, um Asset-Management durchzuführen:

das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.

Ich möchte es aber nicht lokal tun, möchte es über den Server machen.

Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).

Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.

Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das? Wenn ja wo finde ich den Regeintrag? (Wer ist in der Admingruppe? Wie setze ich mich nun darein)

Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.

Viele Grüße

Hoffe mir kann einer helfen
Mitglied: DerWoWusste
16.08.2012 um 17:07 Uhr
Hi.

Domänenadmins sind per default in der Admingruppe eines jeden Domänencomputers. Wenn nicht, hat selbiger sich selbst rausgenommen ;) Oder ein lokaler Admin hat es getan. normalerweise also kein handlungsbedarf. Wenn doch, mach Dich mit "restricted groups" vertraut.
Bitte warten ..
Mitglied: 83466
16.08.2012 um 21:11 Uhr
Hi,
was hast du denn für eine Domäne? Eine Windows oder eine Samba Domäne? Normal solltest du als Domänen-Admin wie schon DerWoWusste geschrieben hat, überall lokaler Admin sein. Im Idealfall haben die Anwender dann auch keine Admin-Rechte auf den Rechnern, das würde bei uns zu einem totalen Chaos führen.

Wenn du eine Windows-Domäne hast und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten lassen, dass geht halt nur, wenn es Silent-Parameter besitzt.

Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
Bitte warten ..
Mitglied: 60730
16.08.2012, aktualisiert um 22:23 Uhr
moin,
Zitat von haiqualle:
Ich muss überall lokaler Admin sein, um Asset-Management durchzuführen:
  • "ich" bin bei uns derjenige welcher die Domain gebaut hat und ich warte die auch.
  • "Ich" bin aber trotzdem kein Admin oder gar Domainadmin - und trotzdem funkt alles...

das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.
  • das wäre (s.o) beim Domain Join aber eh passiert.

Ich möchte es aber nicht lokal tun, möchte es über den Server machen.
  • ich machs auch ungern im lokal, ich machs gern mit der Serviererin bei ihr zuhause.

Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).

  • Tham von Tham Tham?
  • Bist "du" der Tham Tham von der Userdomain?

Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.
  • dann nimm ne C# Datei.. wtf - ich dachte nicht, dass man zum Problem beschreiben nen Doctor Titel braucht

Nun möchte ich noch versuchen das ganze über die Registry zu tun.
Geht das?
  • wenn "du" die nötigen Rechte hast...
Wenn ja wo finde ich den Regeintrag?
  • rechts oben - neben der Mitte - ganz links und dann oben rechts, der fett geschriebene ist es...
  • (Wer ist in der Admingruppe? Wie setze ich mich nun darein)
  • garnicht
Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.

Viele Grüße

Hoffe mir kann einer helfen

  • Hoffe du bist nicht eingeschnappt und liesst deine Frage mal durch und schreibst das so das man da auch ohne Kristall hätte wenn und aber ider vielleicht und sicher antworten kann.

Gruß

@ rex...
Wenn du eine Windows-Domäne hast
  • er hat doch GPO hingemalt..
und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten

  • eine MSI ist eine Installationsdatei - also das er das "installieren" will, das hab ich da nicht gelesen...
Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
  • wo liesst du sein verwendetes OS raus? - und nein "faul" muß da keiner sein, aber wenn kein Feedback zurückkäme, dann hätte ich ne Vermutung....

N8
Bitte warten ..
Mitglied: goscho
16.08.2012 um 23:10 Uhr
Hi Leute,
ich glaube, ihr habt den Beitrag des TO nicht korrekt gelesen
Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner.
Seine Rechner scheinen nicht zur Domäne zu gehören.

Ich würde dies ändern.
Bitte warten ..
Mitglied: filippg
16.08.2012 um 23:24 Uhr
Hallo,

leider sind in der besagten Domäne nur die User, nicht die Rechner.
Aber ich hoffe jetzt doch, dass die Rechner dafür in einem anderen (getrusteten) AD sind, ansonsten würde ich jetzt an deiner oder meiner Verstandeskraft zweifeln müssen. Schonmal mit den dortigen Admins gesprochen?

Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das?
Äh... angenommen es geht (über Registry oder sonstwie Batch bla bla bla): Um jemand wie-auch-immer zum lokalen Admin zu machen, muss man selber lokaler Admin sein. Alles andere wäre unzulässige Rights Elevation und somit eine Sicherheitslücke. Ausnahme: Eine Änderung, die nicht auf dem Client selber durchgeführt wird, sondern in der Domäne - z.B. hinzufügen eines Nutzers in eine Domänengruppe, die lokale Admingruppe ist, oder GPOs.

Gruß

Filipp
Bitte warten ..
Mitglied: 83466
17.08.2012, aktualisiert um 12:44 Uhr
In jeder Windows Domäne gibt es C$-Freigaben, dass war schon immer so und wird immer so sein, außer diese wurden via GPO oder Batch oder was auch immer deaktiviert. Wenn du ne SAMBA-Domäne hast, kannst du auch bestimmte Einstellungen als GPO-Nachbaute auf den Clients verteilen, nur halt nicht so umfangreich, wie in ner Windows-Domäne.

Und du kannst mit einer Softwareverteilungsrichtlinie eine MSI nur ausführen, was die MSI damit macht, steht im Programm drin. Ich habe so zum Beispiel eine MSI von Specops Deploy/Apps ausgerollt, die nur ausgeführt werden musste und danach ein Attribut im AD geändert hat, es geht sehr wohl auch ohne, dass sich das Tool installiert.

Edit: Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann ist da entweder im Trust was nicht richtig, also der Rechner wurde mit einer Backupsoftware zurückgespielt und die DCs trauen dem nicht mehr, oder die Rechner sind nicht richtig in der AD eingebunden oder garnicht.

Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2012 um 13:40 Uhr
Moin Phyrexian.
Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann...
...ist evtl. gar nichts verkehrt. Denn seit Vista (und natürlich auch win7) ist c$ standardmäßig nicht mehr zu erreichen, siehe beispielsweise http://www.jimmah.com/vista/content.aspx?id=6
Bitte warten ..
Mitglied: 83466
17.08.2012, aktualisiert um 15:00 Uhr
Wir haben in unserer Domäne von ca. 500 Usern und einem Schulungszentrum mit 150 PCs und Notebooks auf Windows 7 migriert, die C$-Freigabe funktioniert tadellos. Wir haben diese auch nicht via GPO nachgepflegt oder ähnliches.

Edit: Es kann sein, dass dies nicht geht, wenn die Windows-Firewall das Netzwerk nicht als Domänen-Netzwerk erkennt, dann wäre aber wieder eine andere Einstellung
nicht richtig bzw. das DNS ist nicht sauber.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2012 um 15:04 Uhr
und die UAC ist an/an und auf höchster Stufe/aus?
Bitte warten ..
Mitglied: 83466
17.08.2012 um 17:11 Uhr
Die UAC steht bei uns auf dem Standard-Wert der bei der Installation mitgegeben wird, das ist echt klasse, wenn man als eingeschränkter User nen Tool mit Adminrechten ausführen möchte, weil er dann automatisch nach Logindaten fragt
Bitte warten ..
Mitglied: 60730
17.08.2012, aktualisiert um 23:00 Uhr
Moinsen,

Zitat von 83466:
Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.

Sei mir nicht boese, wennn ich mir nur diese eine zeile zum verzehr vorgenommen habe, ich bin zu satt fuer den rest....

Wer fragt hier wen?
Und wer hat gegenfragen, weil die fragestellung etwas undurchsichtig ist?

Entweder hast du nen doppelaccount, oder der to liegt mit kaulquappenseuche auf station 17 oder dessen mailkonto /internetzugang ist voll/defekt.

Und nein - ich kenne xxxx admins, die 100.000 user und 3 trilliarden kisten verwalten und schon ganz von alleine @echo off in ungeteste batche reinmalen koennen, fuer mehr reichts dann meistens nicht mehr...

Lass uns nicht auf diesem niveau hier versacken, denn mein 2. Name ist knecht ruprecht....

N8
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?
Frage von M.MarzWindows Userverwaltung2 Kommentare

Hallo zusammen, welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne? Sind es die beiden o. ...

Windows Netzwerk
C:WindowsPolicyDefinitions - keine Rechte als Domänen-Admin???
gelöst Frage von departure69Windows Netzwerk5 Kommentare

Hallo. wir möchten unsere Windows-7-Clients (endlich) auf den IE10 bringen (derzeit IE8, die User maulen, weil immer mehr HTML5-Seiteninhalte ...

Microsoft
Einmalpasswort Lokaler Admin oder Temporäre admin rechte
Frage von markthom87Microsoft2 Kommentare

Hallo, Ich möchte das für die Installation von Programmen auf einem Rechner, der User die möglichkeit hat per einmal ...

Windows 7
Anwendung starten ohne lokale Admin-Rechte
gelöst Frage von MarkusVHWindows 720 Kommentare

Hallo zusammen, ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 4 StundenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 8 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware7 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...