Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ich als Domänen-Admin brauche auf jedem Client lokale Admin-Rechte

Frage Microsoft Windows Userverwaltung

Mitglied: haiqualle

haiqualle (Level 1) - Jetzt verbinden

16.08.2012 um 16:35 Uhr, 5244 Aufrufe, 11 Kommentare

Hallo zusammen,

momentan hänge ich an folgendem Problem:

Ich muss überall lokaler Admin sein, um Asset-Management durchzuführen:

das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.

Ich möchte es aber nicht lokal tun, möchte es über den Server machen.

Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).

Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.

Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das? Wenn ja wo finde ich den Regeintrag? (Wer ist in der Admingruppe? Wie setze ich mich nun darein)

Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.

Viele Grüße

Hoffe mir kann einer helfen
Mitglied: DerWoWusste
16.08.2012 um 17:07 Uhr
Hi.

Domänenadmins sind per default in der Admingruppe eines jeden Domänencomputers. Wenn nicht, hat selbiger sich selbst rausgenommen ;) Oder ein lokaler Admin hat es getan. normalerweise also kein handlungsbedarf. Wenn doch, mach Dich mit "restricted groups" vertraut.
Bitte warten ..
Mitglied: 83466
16.08.2012 um 21:11 Uhr
Hi,
was hast du denn für eine Domäne? Eine Windows oder eine Samba Domäne? Normal solltest du als Domänen-Admin wie schon DerWoWusste geschrieben hat, überall lokaler Admin sein. Im Idealfall haben die Anwender dann auch keine Admin-Rechte auf den Rechnern, das würde bei uns zu einem totalen Chaos führen.

Wenn du eine Windows-Domäne hast und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten lassen, dass geht halt nur, wenn es Silent-Parameter besitzt.

Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
Bitte warten ..
Mitglied: 60730
16.08.2012, aktualisiert um 22:23 Uhr
moin,
Zitat von haiqualle:
Ich muss überall lokaler Admin sein, um Asset-Management durchzuführen:
  • "ich" bin bei uns derjenige welcher die Domain gebaut hat und ich warte die auch.
  • "Ich" bin aber trotzdem kein Admin oder gar Domainadmin - und trotzdem funkt alles...

das Tool heißt LogINventory. Mir ist klar, dass ich händisch den Domänen-Admin in die Administratoren (lokal) Gruppe stecken kann.
  • das wäre (s.o) beim Domain Join aber eh passiert.

Ich möchte es aber nicht lokal tun, möchte es über den Server machen.
  • ich machs auch ungern im lokal, ich machs gern mit der Serviererin bei ihr zuhause.

Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner. (Da die o.g. Dinge zum Maschinenanteil gehören und nicht zum Useranteil).

  • Tham von Tham Tham?
  • Bist "du" der Tham Tham von der Userdomain?

Über batch Datei leider auch nicht weiter gekommen: Fehler 5 Zugriff verweigert.
  • dann nimm ne C# Datei.. wtf - ich dachte nicht, dass man zum Problem beschreiben nen Doctor Titel braucht

Nun möchte ich noch versuchen das ganze über die Registry zu tun.
Geht das?
  • wenn "du" die nötigen Rechte hast...
Wenn ja wo finde ich den Regeintrag?
  • rechts oben - neben der Mitte - ganz links und dann oben rechts, der fett geschriebene ist es...
  • (Wer ist in der Admingruppe? Wie setze ich mich nun darein)
  • garnicht
Weiter ist mir dann bewusst, dass ich remote jede Regestry ändern muss, bzw würde ich das wiederum über batch tun und den Clienten zukommen lassen.

Viele Grüße

Hoffe mir kann einer helfen

  • Hoffe du bist nicht eingeschnappt und liesst deine Frage mal durch und schreibst das so das man da auch ohne Kristall hätte wenn und aber ider vielleicht und sicher antworten kann.

Gruß

@ rex...
Wenn du eine Windows-Domäne hast
  • er hat doch GPO hingemalt..
und dein Tool eine MSI-Datei ist, könntest du das Ding beim Systemstart über ne Richtlinie starten

  • eine MSI ist eine Installationsdatei - also das er das "installieren" will, das hab ich da nicht gelesen...
Versuch mal als Domänen-Admin die C$-Freigabe eines Rechners zu öffnen, wenn das nicht geht, ist da irgendwo was faul.
  • wo liesst du sein verwendetes OS raus? - und nein "faul" muß da keiner sein, aber wenn kein Feedback zurückkäme, dann hätte ich ne Vermutung....

N8
Bitte warten ..
Mitglied: goscho
16.08.2012 um 23:10 Uhr
Hi Leute,
ich glaube, ihr habt den Beitrag des TO nicht korrekt gelesen
Ein ganz großes Tham ist GPO, leider sind in der besagten Domäne nur die User, nicht die Rechner.
Seine Rechner scheinen nicht zur Domäne zu gehören.

Ich würde dies ändern.
Bitte warten ..
Mitglied: filippg
16.08.2012 um 23:24 Uhr
Hallo,

leider sind in der besagten Domäne nur die User, nicht die Rechner.
Aber ich hoffe jetzt doch, dass die Rechner dafür in einem anderen (getrusteten) AD sind, ansonsten würde ich jetzt an deiner oder meiner Verstandeskraft zweifeln müssen. Schonmal mit den dortigen Admins gesprochen?

Nun möchte ich noch versuchen das ganze über die Registry zu tun. Geht das?
Äh... angenommen es geht (über Registry oder sonstwie Batch bla bla bla): Um jemand wie-auch-immer zum lokalen Admin zu machen, muss man selber lokaler Admin sein. Alles andere wäre unzulässige Rights Elevation und somit eine Sicherheitslücke. Ausnahme: Eine Änderung, die nicht auf dem Client selber durchgeführt wird, sondern in der Domäne - z.B. hinzufügen eines Nutzers in eine Domänengruppe, die lokale Admingruppe ist, oder GPOs.

Gruß

Filipp
Bitte warten ..
Mitglied: 83466
17.08.2012, aktualisiert um 12:44 Uhr
In jeder Windows Domäne gibt es C$-Freigaben, dass war schon immer so und wird immer so sein, außer diese wurden via GPO oder Batch oder was auch immer deaktiviert. Wenn du ne SAMBA-Domäne hast, kannst du auch bestimmte Einstellungen als GPO-Nachbaute auf den Clients verteilen, nur halt nicht so umfangreich, wie in ner Windows-Domäne.

Und du kannst mit einer Softwareverteilungsrichtlinie eine MSI nur ausführen, was die MSI damit macht, steht im Programm drin. Ich habe so zum Beispiel eine MSI von Specops Deploy/Apps ausgerollt, die nur ausgeführt werden musste und danach ein Attribut im AD geändert hat, es geht sehr wohl auch ohne, dass sich das Tool installiert.

Edit: Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann ist da entweder im Trust was nicht richtig, also der Rechner wurde mit einer Backupsoftware zurückgespielt und die DCs trauen dem nicht mehr, oder die Rechner sind nicht richtig in der AD eingebunden oder garnicht.

Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2012 um 13:40 Uhr
Moin Phyrexian.
Wenn du dich als Domänen-Admin an einem Rechner anmelden kannst, wird dieser wohl in der Domäne sein und der Trust zwischem dem DC und dem Rechner stimmt, anders geht das nicht. Wenn du dann mit diesem Konto von diesem Client nicht auf einen anderen Rechner in der Domäne zugreifen kannst, dann...
...ist evtl. gar nichts verkehrt. Denn seit Vista (und natürlich auch win7) ist c$ standardmäßig nicht mehr zu erreichen, siehe beispielsweise http://www.jimmah.com/vista/content.aspx?id=6
Bitte warten ..
Mitglied: 83466
17.08.2012, aktualisiert um 15:00 Uhr
Wir haben in unserer Domäne von ca. 500 Usern und einem Schulungszentrum mit 150 PCs und Notebooks auf Windows 7 migriert, die C$-Freigabe funktioniert tadellos. Wir haben diese auch nicht via GPO nachgepflegt oder ähnliches.

Edit: Es kann sein, dass dies nicht geht, wenn die Windows-Firewall das Netzwerk nicht als Domänen-Netzwerk erkennt, dann wäre aber wieder eine andere Einstellung
nicht richtig bzw. das DNS ist nicht sauber.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2012 um 15:04 Uhr
und die UAC ist an/an und auf höchster Stufe/aus?
Bitte warten ..
Mitglied: 83466
17.08.2012 um 17:11 Uhr
Die UAC steht bei uns auf dem Standard-Wert der bei der Installation mitgegeben wird, das ist echt klasse, wenn man als eingeschränkter User nen Tool mit Adminrechten ausführen möchte, weil er dann automatisch nach Logindaten fragt
Bitte warten ..
Mitglied: 60730
17.08.2012, aktualisiert um 23:00 Uhr
Moinsen,

Zitat von 83466:
Ich habe nicht geschrieben, dass der Admin oder sonst wer faul ist, sondern nur was an der Konfiguration.

Sei mir nicht boese, wennn ich mir nur diese eine zeile zum verzehr vorgenommen habe, ich bin zu satt fuer den rest....

Wer fragt hier wen?
Und wer hat gegenfragen, weil die fragestellung etwas undurchsichtig ist?

Entweder hast du nen doppelaccount, oder der to liegt mit kaulquappenseuche auf station 17 oder dessen mailkonto /internetzugang ist voll/defekt.

Und nein - ich kenne xxxx admins, die 100.000 user und 3 trilliarden kisten verwalten und schon ganz von alleine @echo off in ungeteste batche reinmalen koennen, fuer mehr reichts dann meistens nicht mehr...

Lass uns nicht auf diesem niveau hier versacken, denn mein 2. Name ist knecht ruprecht....

N8
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Windows 7
Dataline Office benötigt zum starten Admin-Rechte (3)

Frage von ingoue zum Thema Windows 7 ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer (3)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...