Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server 2008 Co-Admin einrichten für Installaltion an XP-Clients

Frage Microsoft Windows Userverwaltung

Mitglied: Maxwell53

Maxwell53 (Level 1) - Jetzt verbinden

16.05.2011, aktualisiert 14:24 Uhr, 4378 Aufrufe, 9 Kommentare

Hallo,
ich habe leider zu wenig mit den Einstellungen der Gruppennrichtlinien AD auf dem Server 2008 zu tun und möchte keinen Schaden anrichten.
Vor einiger Zeit war das Problem garnicht vorhanden war und der Praktikant konnte die Installationen auf den XP-Clients durchführen.
Es kann sein, dass bei der Serverumstellung Einstellungen geändert worden sind?

so jetzt zum Thema:

ich habe einen Praktikanten, dem es möglich sein soll Installationen auf den xp-clients durchzuführen.

Dafür wurde (von wem auch immer?) auf dem Server 2008 im AD unter "Administrative Rechte" loc-lokale-Adminrechte angelegt, damit er auf Clients-PC installieren kann.
Unter den "Administrativen Rechten " ist noch ein Ordner "Administrative Benutzer" wo ein Benutzer "Praktikant" angelegt wurde.

Andere Rechte wie Zugriff auf Server- und administrative Ordner sollen nicht erfolgen.

Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen. Der Benutzer, welcher installieren soll ist unter Anderem auch ein Mitarbeiter bzw.Domänen Benutzer.

Ich habe den Benutzer hin und her verschoben und es erscheint beim Installieren die Meldung, dass admin.Rechte erforderlich sind.

Wo kann man im AD die einzelnen Berechtigung für die Gruppen setzen? Hab's leider vergessen.

Das Dumme ist,es hatte vor längerer Zeit schon einmal unter dem Account "Praktikant" funktioniert und jemand hat da Hand angelegt.

Vielen Dank
Mitglied: DerWoWusste
16.05.2011 um 15:01 Uhr
Moin.
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen.
Das geht nicht mit Bordmitteln. Man kann nur pauschal allen Installationen ermöglichen, aber nicht Einzelnen.
Du kannst höchstens dies hier dazu kaufen und verwenden: http://www.beyondtrust.com/PowerBroker-Desktops-Windows-Edition.aspx?se ...
Bitte warten ..
Mitglied: goscho
16.05.2011 um 15:16 Uhr
Hi Leute,

wenn der Praktikant auf den Client-PCs lokaler Admin werden soll, kann man diese doch über 'eingeschränkte Gruppen' erreichen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Bitte warten ..
Mitglied: danielmuc
16.05.2011 um 15:34 Uhr
Hallo Maxwell,

darf ich nochmal kurz nachhaken. Geht es um die Betriebssysteminstallation ? lokaler Admin oder darum Computer Konten in der Domain anzulegen / Clients in die Domain aufzunehmen ?
Bei letzteren würde ich die Option "Erstellen und löschen der Objekte Computer" auf die OU Computers in deiner AD Struktur für den User vergeben. Bzw. macht es sich auch immer gut für die Aufgabe eine Gruppe anzulegen und dieser dann das Recht für die Computer Objekte zu delegieren.

AD-User&Computers rechtklick auf die OU-> Sicherheit hinzufügen... Vererbung der Rechte funktioniert ähnlih wie NTFS

Greatz Daniel.
Bitte warten ..
Mitglied: Maxwell53
16.05.2011 um 18:15 Uhr
Hallo,

den Beitrag von goscho habe ich schon gelesen und der link auf die Seite der Gruppenrichtlinien ist prima. Aber wie gesagt, ich bin da ziemlich vorsichtig.

So jetzt zum Thema:

Das Erstellen von Objekten,usern,Computern und Einbinden von Peripherie ,sowie Installation Betriebssysteme mache ich alles selbst. Das ist alles in Ordnung.

Der Mitarbeiter soll mir zur Hilfe an der Seite stehen und auf den PC's der Mitarbeiter Anwendungen installieren dürfen oder Treiber. Ich brauche mich nur remote oder am PC des Anwenders anmelden und da gibt es als Domailn-Admin keine Probleme.
Diese Admin-Rechte möchte ich aber nicht meinem Hifs-Admin übertragen, da er nicht Zugriff auf die Verwaltungsebene oder Serverstruktur haben soll. Ansonsten könnte ich ihn unter dem Administratorkonto einpflegen und die Sache wäre erledigt.
Er hat dazu nicht die entsprechenden Vorraussetzung und dann muss ich die Suppe wieder auslöffeln.
Bitte warten ..
Mitglied: DerWoWusste
16.05.2011 um 22:16 Uhr
Maxwell, Du solltest auf alle Kommentare eingehen [zB. auf meinen ; ) ], sonst dümpelt die Sache nur vor sich hin.
Du schriebst, Du hättest es mal gelöst gehabt - ich versichere Dir: es ist nicht möglich mit den in Windows eingebauten Mitteln. Schau Dir mal die genannte Software an, mit der geht das tatsächlich. Zum Test auch kostenfrei, nur das Deployment netzwerkweit mit GPOs kostet was.

Vermutlich hast Du restricted groups (wie Dir im Tipp von Goscho genannt) selbst mal genutzt, das ist der einzige Weg, zumindest Adminrechte gemütlich überall (auf den Workstations, niocht auf den Servern) an bestimte Personen zu vergeben.
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 10:37 Uhr
Hi Maxwell,

restricted Groups sind gut aber bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden mit den Settings die du in der GPO via restricted Groups spezifizierst.

Finde deine Überschrift und die Beschreibung im Nachinein etwas Unglücklich:

Server 2008 .... da denke ich als AD Admin erstmal an deligierte Administration im AD

btw. die GPO musst du so aufhängen das die Clients diese auch ziehen, weil restricted Groups ein Maschinen Setting sind.
Am besten mit gpresult auf den Clients Überprüfen ob die Policy localadmin auch gezogen wurde.

Greatz Daniel.
Bitte warten ..
Mitglied: DerWoWusste
17.05.2011 um 11:18 Uhr
@Daniel:
bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden
Nö. Kommt ganz darauf an, wie man es macht. Ich zitiere mal experts exchange (eine MVP-Dame):
--
You can deploy Restricted Groups in either an additive or a destructive fashion:

•Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

•Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
--
->additive!
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 11:28 Uhr
Hi

das geht dann aber erst ab 2008 oder ?

Daniel.

p.s. hab heute meinen destruktiven TAG ...
Bitte warten ..
Mitglied: DerWoWusste
17.05.2011 um 11:31 Uhr
...und ich meinen additiven
Nee, geht schon seit win2k.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Installation
gelöst NPS (Server 2008 R2 Standard) Limit von 50 Clients erreicht (11)

Frage von mikado90 zum Thema Windows Installation ...

Windows Server
gelöst NTP Server auf einem Windows Server 2008 R2 DC standardmäßig schon drauf? (11)

Frage von M.Marz zum Thema Windows Server ...

Windows Server
Windows Server 2008 R2 Aero-Design auf Remote Desktop geht nicht (3)

Frage von Motherboard33 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...