Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Userverwaltung

Server 2008 Co-Admin einrichten für Installaltion an XP-Clients

Mitglied: Maxwell53

Maxwell53 (Level 1) - Jetzt verbinden

16.05.2011, aktualisiert 14:24 Uhr, 4449 Aufrufe, 9 Kommentare

Hallo,
ich habe leider zu wenig mit den Einstellungen der Gruppennrichtlinien AD auf dem Server 2008 zu tun und möchte keinen Schaden anrichten.
Vor einiger Zeit war das Problem garnicht vorhanden war und der Praktikant konnte die Installationen auf den XP-Clients durchführen.
Es kann sein, dass bei der Serverumstellung Einstellungen geändert worden sind?

so jetzt zum Thema:

ich habe einen Praktikanten, dem es möglich sein soll Installationen auf den xp-clients durchzuführen.

Dafür wurde (von wem auch immer?) auf dem Server 2008 im AD unter "Administrative Rechte" loc-lokale-Adminrechte angelegt, damit er auf Clients-PC installieren kann.
Unter den "Administrativen Rechten " ist noch ein Ordner "Administrative Benutzer" wo ein Benutzer "Praktikant" angelegt wurde.

Andere Rechte wie Zugriff auf Server- und administrative Ordner sollen nicht erfolgen.

Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen. Der Benutzer, welcher installieren soll ist unter Anderem auch ein Mitarbeiter bzw.Domänen Benutzer.

Ich habe den Benutzer hin und her verschoben und es erscheint beim Installieren die Meldung, dass admin.Rechte erforderlich sind.

Wo kann man im AD die einzelnen Berechtigung für die Gruppen setzen? Hab's leider vergessen.

Das Dumme ist,es hatte vor längerer Zeit schon einmal unter dem Account "Praktikant" funktioniert und jemand hat da Hand angelegt.

Vielen Dank
Mitglied: DerWoWusste
16.05.2011 um 15:01 Uhr
Moin.
Also ganz normal wie die anderen Benutzer der Domäne mit eingeschränkten Rechten nur mit dem Recht installieren zu dürfen.
Das geht nicht mit Bordmitteln. Man kann nur pauschal allen Installationen ermöglichen, aber nicht Einzelnen.
Du kannst höchstens dies hier dazu kaufen und verwenden: http://www.beyondtrust.com/PowerBroker-Desktops-Windows-Edition.aspx?se ...
Bitte warten ..
Mitglied: goscho
16.05.2011 um 15:16 Uhr
Hi Leute,

wenn der Praktikant auf den Client-PCs lokaler Admin werden soll, kann man diese doch über 'eingeschränkte Gruppen' erreichen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Bitte warten ..
Mitglied: danielmuc
16.05.2011 um 15:34 Uhr
Hallo Maxwell,

darf ich nochmal kurz nachhaken. Geht es um die Betriebssysteminstallation ? lokaler Admin oder darum Computer Konten in der Domain anzulegen / Clients in die Domain aufzunehmen ?
Bei letzteren würde ich die Option "Erstellen und löschen der Objekte Computer" auf die OU Computers in deiner AD Struktur für den User vergeben. Bzw. macht es sich auch immer gut für die Aufgabe eine Gruppe anzulegen und dieser dann das Recht für die Computer Objekte zu delegieren.

AD-User&Computers rechtklick auf die OU-> Sicherheit hinzufügen... Vererbung der Rechte funktioniert ähnlih wie NTFS

Greatz Daniel.
Bitte warten ..
Mitglied: Maxwell53
16.05.2011 um 18:15 Uhr
Hallo,

den Beitrag von goscho habe ich schon gelesen und der link auf die Seite der Gruppenrichtlinien ist prima. Aber wie gesagt, ich bin da ziemlich vorsichtig.

So jetzt zum Thema:

Das Erstellen von Objekten,usern,Computern und Einbinden von Peripherie ,sowie Installation Betriebssysteme mache ich alles selbst. Das ist alles in Ordnung.

Der Mitarbeiter soll mir zur Hilfe an der Seite stehen und auf den PC's der Mitarbeiter Anwendungen installieren dürfen oder Treiber. Ich brauche mich nur remote oder am PC des Anwenders anmelden und da gibt es als Domailn-Admin keine Probleme.
Diese Admin-Rechte möchte ich aber nicht meinem Hifs-Admin übertragen, da er nicht Zugriff auf die Verwaltungsebene oder Serverstruktur haben soll. Ansonsten könnte ich ihn unter dem Administratorkonto einpflegen und die Sache wäre erledigt.
Er hat dazu nicht die entsprechenden Vorraussetzung und dann muss ich die Suppe wieder auslöffeln.
Bitte warten ..
Mitglied: DerWoWusste
16.05.2011 um 22:16 Uhr
Maxwell, Du solltest auf alle Kommentare eingehen [zB. auf meinen ; ) ], sonst dümpelt die Sache nur vor sich hin.
Du schriebst, Du hättest es mal gelöst gehabt - ich versichere Dir: es ist nicht möglich mit den in Windows eingebauten Mitteln. Schau Dir mal die genannte Software an, mit der geht das tatsächlich. Zum Test auch kostenfrei, nur das Deployment netzwerkweit mit GPOs kostet was.

Vermutlich hast Du restricted groups (wie Dir im Tipp von Goscho genannt) selbst mal genutzt, das ist der einzige Weg, zumindest Adminrechte gemütlich überall (auf den Workstations, niocht auf den Servern) an bestimte Personen zu vergeben.
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 10:37 Uhr
Hi Maxwell,

restricted Groups sind gut aber bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden mit den Settings die du in der GPO via restricted Groups spezifizierst.

Finde deine Überschrift und die Beschreibung im Nachinein etwas Unglücklich:

Server 2008 .... da denke ich als AD Admin erstmal an deligierte Administration im AD

btw. die GPO musst du so aufhängen das die Clients diese auch ziehen, weil restricted Groups ein Maschinen Setting sind.
Am besten mit gpresult auf den Clients Überprüfen ob die Policy localadmin auch gezogen wurde.

Greatz Daniel.
Bitte warten ..
Mitglied: DerWoWusste
17.05.2011 um 11:18 Uhr
@Daniel:
bedenke, dass dabei alle bereits manuell aufgenommen lokalen Admins auf den Clients (lokale Gruppe Administratoren) überschrieben werden
Nö. Kommt ganz darauf an, wie man es macht. Ich zitiere mal experts exchange (eine MVP-Dame):
--
You can deploy Restricted Groups in either an additive or a destructive fashion:

•Destructive (what you're currently using): Define "Administrators" as a Restricted Group, and on the Member tab list the users who should be members of that group. All other group members will be removed when this policy is defined.

•Additive (what it sounds like you want to be doing): Define "HelpDesk" (or whatever you've called the group as a Restricted Group, and on the Member Of tab, define the HelpDesk group as a member of "Administrators." The HelpDesk group will be added to the Administrators group of any machine to which this policy applies, without removing any other group members from the Administrators group.
--
->additive!
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 11:28 Uhr
Hi

das geht dann aber erst ab 2008 oder ?

Daniel.

p.s. hab heute meinen destruktiven TAG ...
Bitte warten ..
Mitglied: DerWoWusste
17.05.2011 um 11:31 Uhr
...und ich meinen additiven
Nee, geht schon seit win2k.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Sicherheitskonzept Client und Server und co.
Frage von MS6800Sicherheitsgrundlagen9 Kommentare

Hallo, ich wollte euch mal Fragen , was ihr von meinem Sicherheitskonzept hält, bzw. was eventuell der eine oder ...

Windows Netzwerk
Client-Server-Netzwerk einrichten
Frage von ElduderinoWindows Netzwerk5 Kommentare

Hallo, kennt jemand ein paar gute Seiten bzw. hat jemand Tipps für die Einrichtung einer Client-Server-Umgebung für ca. 20 ...

Windows Server
Internetadresse einrichten Server 2008 R2
Frage von sbsnewbieWindows Server7 Kommentare

Moin Admins, folgende Frage: Habe mir einen gebrauchten Server 2008 R2 ins Büro gestellt, für eine Testumgebung. Da ich ...

Windows Server
Server 2008 Client Isolation
Frage von dax4funWindows Server6 Kommentare

Hi, Freunde lange nicht gehört Wahrscheinlich weil alles funktioniert hat ;) habe einen Windows Server 2008 R2 RAS VPN ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 6 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 13 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...