Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domänen Benutzer, erweiterte Rechte aber kein Globaler Admin - geht das?

Frage Microsoft Windows Server

Mitglied: minimalwerk

minimalwerk (Level 1) - Jetzt verbinden

20.10.2014, aktualisiert 22.10.2014, 1626 Aufrufe, 5 Kommentare

Hallo liebe Community,

wie bewerkstellige ich es, dass ein Mitarbeiter in Firma X kein globaler Administrator ist aber trotzdem erweiterte Rechte als ein Domänen Benutzer hat?

Folgende Möglichkeiten soll dieser Benutzer haben:

- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern


Ich wühle jetzt einmal in der Kiste und vermute, dass man dies irgendwie mit einer GPO hinbekommt. Aber irgendwie komme ich nicht weiter.

kann mir hier einer helfen?

LG, Frank
Mitglied: SlainteMhath
20.10.2014, aktualisiert um 16:01 Uhr
Moin,

Ist die SuFu im Forum kaputt? :P

- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- Per GPO eine Domain-Gruppe der lokalen Admin Gruppe hinzufügen
- Den enstprechenden User in die Domain-Gruppe aufnehmen.

- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
Admin sein ohne Admin zu sein geht nicht. Wenn er lokaler Admin ist, darf er den Server auch in Gänze verwalten.

- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern
Dazu braucht er des Recht "Vollzugriff" auf die entsprechenden Order. Wenn er schon lok. Admin ist brauchst du nichts mehr extra machen.

Ich wühle jetzt einmal in der Kiste...
SuFu / Google - und du wärst schon am Ziel

lg,
Slainte
Bitte warten ..
Mitglied: minimalwerk
20.10.2014 um 16:23 Uhr
Zitat von SlainteMhath:
SuFu / Google - und du wärst schon am Ziel


erstmal danke für deine Hilfe

Aber die SuFu habe ich dazu betätigt. Jedoch nichts gefunden was für meine Anforderung passt. Du sagst ja selbst, dass man als Admin mit lokalen rechten auch den Server in Gänze verwalten darf. Genau hier liegt der Knackpunkt. Er darf dies eben nicht machen.

Also gibt es keine Möglichkeit meine Anforderungen genau wie oben beschrieben umzusetzen?

LG
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 20.10.2014, aktualisiert 22.10.2014
Hi.

Du hast 3 Anforderungen gestellt:
-Admin an den Clients ->Lösung siehe Slainte
-Berechtigungen auf Odner ->dito
-Logon am Server->Anmeldeberechtigung vergeben | Freigaben: das erfordert Adminrechte, aber Du kannst einen Workaround nutzen: lass ihn eine Textdatei befüllen und gib ihm das Recht, einen geplanten Task zu starten, der aus dieser Textdatei die Argumente nimmt und mit hohen Rechten (System) verarbeitet.

geht so: Form der Textdatei (c:\test\Text.txt) ist hier im Beispiel nur eine Zeile:
testfreigabe c:\test

Form des Tasks: Batch mit
For /f "tokens=1,2" %%a in (c:\test\text.txt) do net share %%a=%%b

Wichtig: er darf den Task zwar starten können, aber auf keinen Fall ändern.
Bitte warten ..
Mitglied: jsysde
LÖSUNG 20.10.2014, aktualisiert 22.10.2014
N'Abend.

Anmeldung am Server klappt für normale User, wenn man sie z.B. Mitglied der Gruppe "Print Operators" macht (sogar an einem DC),
Das Verwalten der Netzlaufwerke könnte über eine angepasste MMC klappen (pure Theorie; so noch nie ausprobiert).

Cheers,
jsysde
Bitte warten ..
Mitglied: minimalwerk
22.10.2014 um 19:07 Uhr
Danke für eure Hilfe
Dann müssen wir mal schauen wie wir das geforderte bewerkstelligen.

LG
Bitte warten ..
Ähnliche Inhalte
Windows Server
Domänen-Benutzer Anmelde-Überwachung (1)

Frage von PseudoNym zum Thema Windows Server ...

Batch & Shell
gelöst AD: alle Domänen Benutzer - Problem OU CN (2)

Frage von lupolo zum Thema Batch & Shell ...

Notebook & Zubehör
gelöst Notebook Verbindung zum Router geht, aber kein Internet (7)

Frage von Headhunter4711 zum Thema Notebook & Zubehör ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (35)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (13)

Frage von Static zum Thema CMS ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...