Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Lokale Administratoren - Verständnissfrage

Frage Microsoft Windows Server

Mitglied: StripLV

StripLV (Level 1) - Jetzt verbinden

28.03.2013, aktualisiert 17:44 Uhr, 2877 Aufrufe, 8 Kommentare

Hallo Communitiy,

ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.

Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.

Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:

1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?

Danke!

Variante 1

64d4f255d66471f4c56290de7919c1cc - Klicke auf das Bild, um es zu vergrößern

Variante 2

2c493fe0dc7287c44b849e187903bf7a - Klicke auf das Bild, um es zu vergrößern
Mitglied: Pjordorf
28.03.2013 um 18:24 Uhr
Hallo,

Zitat von StripLV:
1. Was ist richtig?
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
> ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben
etwas ganz anderes bedeuten? Dazu am Lokalen Rechner nach Benutzer - Erweitert - Gruppen - Administratoren gehen und händisch eintragen oder das ganze per Gruppenrichtline und einer Domäne aus machen. Das hat mit deinen Bildern nichts zu tun. Bedenke: ein Administrator ist ein Administartor. Du kannst versuchen ihn einzuschränken (deine Bilder?) aber ein Administrator ist eben ein Administartor und kann sich wieder selbst befreien weil er eben ein Administrator ist.

Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...

Gruß,
Peter
Bitte warten ..
Mitglied: ticuta1
28.03.2013, aktualisiert um 23:25 Uhr
Hallo StripLV,

Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
Mit freundlichen Grüßen,
ticuta1
Bitte warten ..
Mitglied: DerWoWusste
29.03.2013 um 16:29 Uhr
Hi.
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
Bitte warten ..
Mitglied: StripLV
29.03.2013 um 17:14 Uhr
Zuerst mal danke an alle!

@Pjordorf Was ich erreichen möchte: Der User soll an seinem PC Software installieren können. Er ist als Domänenbenutzer angemeldet (also als Domain\User und nicht als PCName\User). Mehr nicht.

@ticuta1 In deinem Link ganz unten der Screenshot verwirrt mich jetzt noch mehr. Da sind ja meine beiden Varianten GLEICHZEITIG in einer GPO?

@DerWoWusste Natürlich arbeite ich mit Softwareverteilung (Java Adobe Reader, Flash usw.). Ich habe auch schon viel darüber gelesen. Fakt ist was ich bis jetzt festgestellt habe: Wenn ich Variante 1 nehme kann der User wie gewünscht die SW installieren.

Nur weiß ich nicht:

1. ob er dadurch noch mehr Rechte bekommt?

2. Nach wie vor den Unterschied zwischen meiner Variante 1 und 2. Wie gesagt ich finde Anleitungen in dem sowohl Variante 1 beschrieben wird als auch Variante 2. Und nun durch den Link von tictua1 auch noch beides gleichzeitig. Was passiert den bei Variante 1 auf dem Client und was bei Variante 2? (und wo sind die Unterschiede)

3. Wie handhabt ihr das? Was ist "best practice" eurer Meinung nach?

Sorry aber ich bin echt verwirrt. Daher auch die Frage an euch.

Danke noch mals!
Bitte warten ..
Mitglied: DerWoWusste
29.03.2013 um 17:40 Uhr
Du hast von mir Links bekommen, die alle Fragen beantworten und bist darauf nicht eingegangen. Ebensowenig auf die Bitte.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
---------->Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
Bitte warten ..
Mitglied: ticuta1
29.03.2013 um 19:25 Uhr
Hallo StripLC,

eigentlich wenn Du aufmerksam gelesen hättest, hättest Du schon bemerkt dass mein Link als Best Practice die eingeschränkte Gruppe vorgibt, wass eigentlich auch die Meinung von DerWoWusste ist.
LG, ticuta1
Bitte warten ..
Mitglied: StripLV
30.03.2013 um 10:18 Uhr
@DerWoWusste

Der von dir beschriebene Weg (Additive) IST doch meine Variante 1.Auf der anderen Seite schreibst Du das er mehr Rechte bekommt? Hä?

Zu 3. Ja aber in meinem Fall ist diese Sw nicht als MSI verfügbar und auch so nicht machbar. Der Typ macht das Onlinemarketing / Grafiken / Website usw. Wenn er mich jedes mal wenn er was installieren will kontaktieren muss ist das nicht so optimal. Daher soll er installieren was er will AUF SEINEM PC.

@ticuta1

Dein Link beschreibt sowohl meine Variante 1 und 2.

Was ich als Fazit durch eure Beiträge verstehe: Ich werde meine Variante 1 nehmen. Das müsste dann passen.

DANKE noch mal an euch!
Bitte warten ..
Mitglied: DerWoWusste
31.03.2013 um 08:57 Uhr
Hi.

Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.

Ostergrüße!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
GPO - Lokale Gruppe mit immer gleichen SID (6)

Frage von fluluk zum Thema Windows Server ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows Userverwaltung
gelöst Lokale Laufwerksberechtigung via GPO (42)

Frage von WinWord zum Thema Windows Userverwaltung ...

Windows Server
Skript per GPO ausführen - Berechtigungen? (9)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...