Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Lokale Administratoren - Verständnissfrage

Frage Microsoft Windows Server

Mitglied: StripLV

StripLV (Level 1) - Jetzt verbinden

28.03.2013, aktualisiert 17:44 Uhr, 2982 Aufrufe, 8 Kommentare

Hallo Communitiy,

ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben.
Der Hintergrund ist das die User auf Ihren PCs Software installieren können.
Ich habe dazu auch schon einige Beiträge gegoogelt.

Allerdings werden 2 Szenarios beschrieben und ich verstehe den Unterschied nicht ganz.

Ich habe 2 Screenshots beigefügt und ich würde gerne wissen:

1. Was ist richtig? Variante 1 oder 2?
2. Was ist der Unterschied?

Danke!

Variante 1

64d4f255d66471f4c56290de7919c1cc - Klicke auf das Bild, um es zu vergrößern

Variante 2

2c493fe0dc7287c44b849e187903bf7a - Klicke auf das Bild, um es zu vergrößern
Mitglied: Pjordorf
28.03.2013 um 18:24 Uhr
Hallo,

Zitat von StripLV:
1. Was ist richtig?
Weder 1 noch 2. Du willst ja deine Benutzer (egal ob Lokaler oder Domänenbenutzer) in die Lokale Gruppe der administratoren aufnehmen. Oder soll dein
> ich möchte einigen Usern auf Ihren Clients lokale Adminrechte vergeben
etwas ganz anderes bedeuten? Dazu am Lokalen Rechner nach Benutzer - Erweitert - Gruppen - Administratoren gehen und händisch eintragen oder das ganze per Gruppenrichtline und einer Domäne aus machen. Das hat mit deinen Bildern nichts zu tun. Bedenke: ein Administrator ist ein Administartor. Du kannst versuchen ihn einzuschränken (deine Bilder?) aber ein Administrator ist eben ein Administartor und kann sich wieder selbst befreien weil er eben ein Administrator ist.

Eventuell solltest du prüfen ob es nicht besser ist einne eingeschränkten Benutzer das recht zu gewähren Software zu Installieren ...

Gruß,
Peter
Bitte warten ..
Mitglied: ticuta1
28.03.2013, aktualisiert um 23:25 Uhr
Hallo StripLV,

Deine Problembeschreibung ist nicht eindeutig! vom Bilder gehe ich davon aus dass Du einen Win2008 Server als AD im Einsatz hast. Grundsätzlich benötigt man keine lokalen Admins, da damit sehr großen Gefahern für die Netzwerksicherheit mitkommen.....aber wenn Du den Risiko eingehen willst, hast Du hier eine Einleitung http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berec ...
MfG,
ticuta1
Bitte warten ..
Mitglied: DerWoWusste
29.03.2013 um 16:29 Uhr
Hi.
Lies doch mal die Hilfe zu den eingeschränkten Gruppen und sag dann, was genau daran unklar ist.
Lies auch http://www.windowsecurity.com/articles-tutorials/windows_os_security/Us ...
Nebenbei: Zur Softwareinstallation alleine würde ich nicht zu dieser Maßnahme greifen, wenn die Anzahl an Software überschaubar ist - dann würde ich eher diese Software per GPO den Nutzern zuweisen, denn so können Sie sie ohne Adminrechte installieren. ABER: dazu braucht man die Software natürlich in Form von MSI-Paketen. Stichwort: "Software Publishing", Artikel: http://technet.microsoft.com/en-us/library/cc782152(v=ws.10).aspx ->Dort springen zu "Publishing Software for Users"
Bitte warten ..
Mitglied: StripLV
29.03.2013 um 17:14 Uhr
Zuerst mal danke an alle!

@Pjordorf Was ich erreichen möchte: Der User soll an seinem PC Software installieren können. Er ist als Domänenbenutzer angemeldet (also als Domain\User und nicht als PCName\User). Mehr nicht.

@ticuta1 In deinem Link ganz unten der Screenshot verwirrt mich jetzt noch mehr. Da sind ja meine beiden Varianten GLEICHZEITIG in einer GPO?

@DerWoWusste Natürlich arbeite ich mit Softwareverteilung (Java Adobe Reader, Flash usw.). Ich habe auch schon viel darüber gelesen. Fakt ist was ich bis jetzt festgestellt habe: Wenn ich Variante 1 nehme kann der User wie gewünscht die SW installieren.

Nur weiß ich nicht:

1. ob er dadurch noch mehr Rechte bekommt?

2. Nach wie vor den Unterschied zwischen meiner Variante 1 und 2. Wie gesagt ich finde Anleitungen in dem sowohl Variante 1 beschrieben wird als auch Variante 2. Und nun durch den Link von tictua1 auch noch beides gleichzeitig. Was passiert den bei Variante 1 auf dem Client und was bei Variante 2? (und wo sind die Unterschiede)

3. Wie handhabt ihr das? Was ist "best practice" eurer Meinung nach?

Sorry aber ich bin echt verwirrt. Daher auch die Frage an euch.

Danke noch mals!
Bitte warten ..
Mitglied: DerWoWusste
29.03.2013 um 17:40 Uhr
Du hast von mir Links bekommen, die alle Fragen beantworten und bist darauf nicht eingegangen. Ebensowenig auf die Bitte.
1 natürlich bekommt er mehr, Admins dürfen alles.
2 lies meinen ersten Link. lies gerne auch mal genauer das Zitat:
You can deploy Restricted Groups in either an additive or a destructive fashion:

  • Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

  • Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.

[Caveat - be sure that you're defining this GPO so that it only applies to your workstations, otherwise you will be adding HelpDesk to the local Admins group on servers/DCs which you probably don't want to be doing.]
---------->Additive ist das, was Du willst.<-----------
3 Ich schrieb schon: Software Publishing - das ist nicht das selbe wie die automatische Installation von Software beim Systemstart, SONDERN die Befähigung von Nicht-Admins, von Dir ausgewählte Software zu installieren.
Bitte warten ..
Mitglied: ticuta1
29.03.2013 um 19:25 Uhr
Hallo StripLC,

eigentlich wenn Du aufmerksam gelesen hättest, hättest Du schon bemerkt dass mein Link als Best Practice die eingeschränkte Gruppe vorgibt, wass eigentlich auch die Meinung von DerWoWusste ist.
LG, ticuta1
Bitte warten ..
Mitglied: StripLV
30.03.2013 um 10:18 Uhr
@DerWoWusste

Der von dir beschriebene Weg (Additive) IST doch meine Variante 1.Auf der anderen Seite schreibst Du das er mehr Rechte bekommt? Hä?

Zu 3. Ja aber in meinem Fall ist diese Sw nicht als MSI verfügbar und auch so nicht machbar. Der Typ macht das Onlinemarketing / Grafiken / Website usw. Wenn er mich jedes mal wenn er was installieren will kontaktieren muss ist das nicht so optimal. Daher soll er installieren was er will AUF SEINEM PC.

@ticuta1

Dein Link beschreibt sowohl meine Variante 1 und 2.

Was ich als Fazit durch eure Beiträge verstehe: Ich werde meine Variante 1 nehmen. Das müsste dann passen.

DANKE noch mal an euch!
Bitte warten ..
Mitglied: DerWoWusste
31.03.2013 um 08:57 Uhr
Hi.

Ja, V1 ist additive und das hätte Dir als Antwort auf Deine Frage sicherlich genügt, da es tut, was Du willst.
Wegen "noch mehr Rechte" - da konnte man Dich missverstehen. Als Admin hat er damit alle Rechte lokal. In der Domäne keine weiteren.
Wg. MSI-Paketen: für adhoc-Installationen kannst Du mobilen Leuten natürlich keine solchen bieten - hier ist Dein Vorgehen der normale Weg.

Ostergrüße!
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Mitglieder der lokalen Administratoren haben keine Berechtigungen
Frage von 120917Windows Userverwaltung10 Kommentare

Hallo, ich vergebe lokale Administratorenrechte per Gruppenrichtlinie über eingeschränkten Gruppen. Eine im AD angelegte Gruppe wird auf jedem Rechner ...

Batch & Shell
Lokaler Administrator PW ändern
Frage von OniChanBatch & Shell3 Kommentare

Moin zusammen, ich habe vor, das lokale Administrator Konto auf Win7 & Win10 Clients zu aktivieren und ihm ein ...

Windows Userverwaltung
Lokalen Administrator über das Netzwerk verteilen
gelöst Frage von M.MarzWindows Userverwaltung7 Kommentare

Hallo, ich würde gerne einen einheitlichen lokalen Administrator an alle Rechner im Netzwerkverteilen, um meine Administration zu vereinfachen. Früher ...

Windows Server
Lokaler Benutzer über GPO verteilen
Frage von staybbWindows Server4 Kommentare

Hallo, ich möchte auf einem Server 2012 mit AD DS Dienst und GPO-Richtlinien, eine neue GPO erstellen, welche einen ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 8 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 10 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...