Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domänen Benutzer, erweiterte Rechte aber kein Globaler Admin - geht das?

Frage Microsoft Windows Server

Mitglied: minimalwerk

minimalwerk (Level 1) - Jetzt verbinden

20.10.2014, aktualisiert 22.10.2014, 1576 Aufrufe, 5 Kommentare

Hallo liebe Community,

wie bewerkstellige ich es, dass ein Mitarbeiter in Firma X kein globaler Administrator ist aber trotzdem erweiterte Rechte als ein Domänen Benutzer hat?

Folgende Möglichkeiten soll dieser Benutzer haben:

- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern


Ich wühle jetzt einmal in der Kiste und vermute, dass man dies irgendwie mit einer GPO hinbekommt. Aber irgendwie komme ich nicht weiter.

kann mir hier einer helfen?

LG, Frank
Mitglied: SlainteMhath
20.10.2014, aktualisiert um 16:01 Uhr
Moin,

Ist die SuFu im Forum kaputt? :P

- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- Per GPO eine Domain-Gruppe der lokalen Admin Gruppe hinzufügen
- Den enstprechenden User in die Domain-Gruppe aufnehmen.

- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
Admin sein ohne Admin zu sein geht nicht. Wenn er lokaler Admin ist, darf er den Server auch in Gänze verwalten.

- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern
Dazu braucht er des Recht "Vollzugriff" auf die entsprechenden Order. Wenn er schon lok. Admin ist brauchst du nichts mehr extra machen.

Ich wühle jetzt einmal in der Kiste...
SuFu / Google - und du wärst schon am Ziel

lg,
Slainte
Bitte warten ..
Mitglied: minimalwerk
20.10.2014 um 16:23 Uhr
Zitat von SlainteMhath:
SuFu / Google - und du wärst schon am Ziel


erstmal danke für deine Hilfe

Aber die SuFu habe ich dazu betätigt. Jedoch nichts gefunden was für meine Anforderung passt. Du sagst ja selbst, dass man als Admin mit lokalen rechten auch den Server in Gänze verwalten darf. Genau hier liegt der Knackpunkt. Er darf dies eben nicht machen.

Also gibt es keine Möglichkeit meine Anforderungen genau wie oben beschrieben umzusetzen?

LG
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 20.10.2014, aktualisiert 22.10.2014
Hi.

Du hast 3 Anforderungen gestellt:
-Admin an den Clients ->Lösung siehe Slainte
-Berechtigungen auf Odner ->dito
-Logon am Server->Anmeldeberechtigung vergeben | Freigaben: das erfordert Adminrechte, aber Du kannst einen Workaround nutzen: lass ihn eine Textdatei befüllen und gib ihm das Recht, einen geplanten Task zu starten, der aus dieser Textdatei die Argumente nimmt und mit hohen Rechten (System) verarbeitet.

geht so: Form der Textdatei (c:\test\Text.txt) ist hier im Beispiel nur eine Zeile:
testfreigabe c:\test

Form des Tasks: Batch mit
For /f "tokens=1,2" %%a in (c:\test\text.txt) do net share %%a=%%b

Wichtig: er darf den Task zwar starten können, aber auf keinen Fall ändern.
Bitte warten ..
Mitglied: jsysde
LÖSUNG 20.10.2014, aktualisiert 22.10.2014
N'Abend.

Anmeldung am Server klappt für normale User, wenn man sie z.B. Mitglied der Gruppe "Print Operators" macht (sogar an einem DC),
Das Verwalten der Netzlaufwerke könnte über eine angepasste MMC klappen (pure Theorie; so noch nie ausprobiert).

Cheers,
jsysde
Bitte warten ..
Mitglied: minimalwerk
22.10.2014 um 19:07 Uhr
Danke für eure Hilfe
Dann müssen wir mal schauen wie wir das geforderte bewerkstelligen.

LG
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
gelöst AD: alle Domänen Benutzer - Problem OU CN (2)

Frage von lupolo zum Thema Batch & Shell ...

Windows Server
Fehler bei Remote PowerShell mit einem Domänen-Benutzer (4)

Frage von xcabur zum Thema Windows Server ...

Microsoft
gelöst GPO wird nicht auf Domänen Benutzer angewendet (13)

Frage von Resolv zum Thema Microsoft ...

Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...