Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domain Benutzer können keine Programme installieren

Frage Microsoft Windows Server

Mitglied: Christoph4306

Christoph4306 (Level 1) - Jetzt verbinden

18.01.2011 um 14:31 Uhr, 15129 Aufrufe, 15 Kommentare

Hallo liebes Forum!

Ich habe einen Windows server 2003 laufen und habe das problem, dass Domain Benutzer keine Programme am jeweiligen PC installieren dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte um eure Hilfe!

Vielen Dank im Voraus!
Mitglied: ChrisIO
18.01.2011 um 14:44 Uhr
Zitat von Christoph4306:

die Benutzer sind aber als Domain Admin eingetragen.

= FAIL!!!

Das macht man sauber über eine Gruppenrichtlinie! Deine Benutzer sollen bestimmt keine Domain-Administrations-Rechte haben.

Warum das Sinn macht, sollte Dir sich spätestens ergeben, wenn einer Deiner "Admins" an einem deiner Server gefummlt hat.
Bitte warten ..
Mitglied: 96937
18.01.2011 um 14:48 Uhr
Können sie denn andere administrative Tätigkeiten vornehmen? E.g. Uhr stellen

Warum sind deine Nutzer Domänenadmins?

Mit freundlichen Grüßen

Leon W.
Bitte warten ..
Mitglied: BAMBOIHH
18.01.2011 um 14:48 Uhr
Moin!

OMG - zu geil - jeder hat Domänen-Admin-Rechte?

Nur am Rande: Zur LOKALEN Installation benötigt man LOKALE Admin-Rechte und keine Domänen-Admin-Rechte...

Ich empfehle Dir zunächst einmal schnellstens allen (bis auf den wirklichen Domänen-Admins natürlich) die Rechte wieder zu nehmen.
Dann würde ich auf gar keinen Fall jeden Software installieren lassen.
Das solltest Du besser händisch , per Batch (Loginscript) oder per Softwareverteilung machen.

Gruß,
BAMBOIHH
Bitte warten ..
Mitglied: godlie
18.01.2011 um 14:52 Uhr
OMit freundlichen Grüßen

Ich würde dir empfehlen die Finger von Systemen zu lassen von denen man keine Ahnung hat.
Wenn lernen willst dann bau dir ein virtuelles Netz zusammen, leg dir Bücher zu und lies sie auch!

Da wundern sich oft Firmen warum ihrer Daten verschwinden hm.......
Bitte warten ..
Mitglied: meronax
18.01.2011 um 15:30 Uhr
Ich möchte nicht unhöflich sein,

aber du musst den leuten sofort die adminrechte entziehen. Wofür hat man bitte eine Domäne wenn dann doch wieder alle admin sind?
und wenn du schon dabei bist solltest du dir selber auch gleich die Adminrechte nehmen.
Bitte warten ..
Mitglied: Christoph4306
18.01.2011 um 15:36 Uhr
Hallo Danke für eure Antworten!

Es funktioniert auf allen PCs bis auf einem, dieser wurde neu aufgesetzt. Hier sind lokale Admin Konten vorhanden.
Ich brauche keine großartigen Gruppenrichtlinien, da wir nur eine sehr kleine Firma sind(3 Personen), ich will einfach nur, dass ich auf den einem PC wenn ich mich an die Domaine anmelde von dem Benutzerkonto aus auch wieder Programme installieren kann.
Ich dachte wenn ich den Benutzern die sich auf diesem PC anmelden den Domain Admin gebe, können sie auch Programme installieren.
Uhr umstellen und so funktioniert ja alles.

Vielen Dank für eure Unterstützung!
Bitte warten ..
Mitglied: jayjay0911
18.01.2011 um 15:49 Uhr
Kann meinen Vorrednern nur zustimmen. Die gesamte Domäne macht 0,0 Sinn, wenn man alle Benutzer zu Domänen-Admins macht. Absolut riskante und unnötige Sicherheitslücke.
Da kann man sich die ganzen Windows Server sparen und ein Peer-to-Peer-Netzwerk mit ner Linux-Maschine mit Samba als Fileserver aufbauen. Spart nen ganzen Haufen Geld.
Bitte warten ..
Mitglied: ChrisIO
18.01.2011 um 15:53 Uhr
Entweder Du legst Dir eine Gruppenrichtlinie an, oder Du gehst wieder auf den Arbeitsgruppen-Betrieb zurück.

Hier: http://openbook.galileocomputing.de/windows_server_2008/ ein wenig Lektüre für Dich.
Bitte warten ..
Mitglied: lenny4me
18.01.2011 um 16:24 Uhr
Für 3 Leute braucht man keine Domain...
Arbeitsgruppe, shares und fertig. Nicht mal DNS braucht man wegen netbios oder der Nachbarankündigung (IPV6) frag mich nicht wie es genau heißt.
Aber die Domain für 3 Hansel ist sinnlos und wenn man nicht genügend Kenntnisse hat auch noch gefährlich.
Mit freundlichen Grüßen lenny
Bitte warten ..
Mitglied: askando
18.01.2011 um 17:04 Uhr
Sorry auf sowas mag ich garnicht antworten solche Leute senken unseren Gehaltsspiegel und nehmen den Anfänger Admins die Arbeitsplätze weg....aber zu geil!!

P.s. mit dem "Arbeitsplätze wegnehmen meinte ich den Oberadmin" nicht seine Schergen ......Sachen gibs wie lustig *fg* so Feierabend

Ps.. Für 3 Leute braucht ihr keine Domain sondern ein NAS .....dau`sssssssssssssss
Bitte warten ..
Mitglied: Pjordorf
18.01.2011 um 19:29 Uhr
Hallo,

Zitat von Christoph4306:
dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte nehme die (Domänen) Benutzer aus den Domänen Admins wieder raus. Da haben die wirklich nichts zu suchen.

Um auf deinen PC's Lokal Software zu installieren müssen die (angemeldeten Domänenbenutzer) Benutzer auch das entsprechende Lokale Recht haben. Du kannst in der Lokalen (Auf jedem PC) Gruppe der Administratoren den Domänenbenutzer eingtragen oder die Gruppe der Domänenbenutzer. Natürlich haben dann deine Benuzter auf den Lokalen Maschinen alle Rechte inkl. Viren Installaition etc. (Im SBS Umfeld wird es als Standard seitens MS so gemacht das der Domänenbenutzer in der Lokalen Gruppe der Admistratoren aufgenommen wird).

Ob jetzt eine Domäne bei 3 Mitarbeitern berechtigt ist oder ob ein NAS reicht? Nun es gibt ja auch die SBS mit nur 5 Benutzer im Einsatz, und davon nicht wenige...

Gruß,
Peter
Bitte warten ..
Mitglied: Christoph4306
18.01.2011 um 20:43 Uhr
Zitat von Pjordorf:
Hallo,

> Zitat von Christoph4306:
> dürfen, da angeblich admin rechte fehlen, die Benutzer sind aber als Domain Admin eingetragen.
Bitte nehme die (Domänen) Benutzer aus den Domänen Admins wieder raus. Da haben die wirklich nichts zu suchen.

Um auf deinen PC's Lokal Software zu installieren müssen die (angemeldeten Domänenbenutzer) Benutzer auch das
entsprechende Lokale Recht haben. Du kannst in der Lokalen (Auf jedem PC) Gruppe der Administratoren den
Domänenbenutzer eingtragen oder die Gruppe der Domänenbenutzer. Natürlich haben dann deine Benuzter auf den
Lokalen Maschinen alle Rechte inkl. Viren Installaition etc. (Im SBS Umfeld wird es als Standard seitens MS so gemacht das der
Domänenbenutzer in der Lokalen Gruppe der Admistratoren aufgenommen wird).

Ob jetzt eine Domäne bei 3 Mitarbeitern berechtigt ist oder ob ein NAS reicht? Nun es gibt ja auch die SBS mit nur 5 Benutzer
im Einsatz, und davon nicht wenige...


1. Den Domain admin werde ich wieder entfernen, war nur ein versuch, da mir gesagt worden ist, dass es so funktionieren soll, was es ja nicht tut.
Weiters brauchen wir nicht darüber sprechen das dies eine Sicherheitslücke ist.

2. Auf einen NAS umsteigen geht nicht, da ich einen Server fürs Telebanking, Mailserver(Exchange) sowie für unser Ausschreibeprogramm benötigen.

3. Danke für den Tipp, mit den eintragen!
Wie du erwähnt hast ist das natürlich keine Optimale Lösung aber es sind Firmen PC´s und keiner installiert hier Programme die nicht da daruf gehören, somit kann man meiner meinung nach auf diese Beschränkungen verzichten.
Oder kann man es sö lösen, wenn man ein Programm instalieren will, dass die Aufforderung zur eingabe des Admin Passwortes kommt?

Auf jeden Fall schon mal vielen Dank für eure hilfe!

PS: @ askando: Ich will keinen Admin den Arbeoitsplatz wegnehmen
Bitte warten ..
Mitglied: Pjordorf
18.01.2011 um 21:16 Uhr
Hallo,

Zitat von Christoph4306:
2. Auf einen NAS umsteigen geht nicht, da ich einen Server fürs Telebanking, Mailserver(Exchange) sowie für unser
Ausschreibeprogramm benötigen.
Da wäre ein SBS 2003 deutlich preiswerter als ein Server 2003 mit zusätzlichem Exchange 2003 gewesen. Und durch einbinden deiner Clients im SBS Netzwerk mittels http://servername/connectcomputer hättest du das problem mit der Software Installation auf den PC's nicht, da hierbei der (die) ausgewählte Domänenbenutzer in der Lokalen Gruppe der Administratoren eingefügt werden. Oder hast du ein SBS 2003?

hier Programme die nicht da daruf gehören, somit kann man meiner meinung nach auf diese Beschränkungen verzichten.
Nun ja, Viren usw ist dadurch natürlich auch Tür und Tor geöffnet da der Benutzer ja mit Lokalen Administratorrechten unterwegs ist und gerade im Internet wird die Gefahr oft unterschätzt.

Oder kann man es sö lösen, wenn man ein Programm instalieren will, dass die Aufforderung zur eingabe des Admin Passwortes kommt?
Ja, das geht auch. Den Domänenbenutzer in der Lokalen Gruppe der Benutzer belassen. Bei der installation von Software dieses starten mit der rechten Taste auf die Datei und "Ausführen als...". Dann einen Benutzer wählen und Passwort eingeben der entsprechende Rechte hat.

P.S. Eine gutes Aniviren Programm auf den Server und Clients sowie ein Antivirus für den Exchange ist natürlich Pflicht. Z.B. Sophos Small Business.

Gruß,
Peter
Bitte warten ..
Mitglied: Christoph4306
19.01.2011 um 07:55 Uhr
Hallo Peter!

Danke nochmals!

Also wir haben einen Windows Server 2003 Standard R2. Das ganze läuft schon jahrelang so, noch vor meiner Zeit. Unser momentanes Problem ist nur das, dass wir derzeit einen neuen Systemadmin brauchen da, unser bisheriger EDV Mensch aus beruflichen Gründen keine Zeit mehr hat. Bis wir jetzt jemand neuen gefunden haben der uns in dieser Angelegenheit unterstützt. Ist ja auch eine kleine Vertrauensgeschichte.

Thema Virenschutz:
Am Server ist derzeit noch der Norten Aktiv, an den einzelnen Rechnern haben wir den AVG drauf.

PS: Das mit dem "Ausführen als..." funktioniert so und werd ich auch so belassen.

Vielen Dank nochmals!

LG
Christoph
Bitte warten ..
Mitglied: ChrisIO
20.01.2011 um 10:34 Uhr
EDITED:


Also ich möchte das Thema doch nochmal aufgreifen,

UserAcc: A.Bmann
DC: Win2K8 Enterprise 64Bit
Client: Windows XP Professional 32Bit


A.Bmann darf Software eigenständig installieren, deinstallieren und darf lokaler Admin sein. (Fiktives Szenario ohne Änderung der Defaul Domain Policy, ohne Einsatz weiterer Gruppenrichtlinien)

Logge ich mich nun über den Domänen-Admin lokal am Client ein und füge der lokalen Gruppe Administratoren die Gruppe Domänen-Benutzer hinzu, bekomme ich nach erneutem Domain-Login mit dem User A.Bmann bei einer Softwareinstallation keine Fehlermeldung.

Also: Der Domänen User erhält durch diese Prozedur lokale Adminrechte.

P.S.: Nein, meine User sind und werden keine Domain-Admins! ;)
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Windows 2012 RDS Server - Programme nur für bestimmte Benutzer? (2)

Frage von zersys zum Thema Windows Server ...

Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (5)

Frage von SarekHL zum Thema Windows Tools ...

Batch & Shell
gelöst PowerShell Domain Join (2)

Frage von Patrick-IT zum Thema Batch & Shell ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...