Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win - Gruppenrichtlinien - Einschränkungen

Frage Microsoft

Mitglied: Schimpy

Schimpy (Level 1) - Jetzt verbinden

03.01.2007, aktualisiert 04.01.2007, 4305 Aufrufe, 4 Kommentare

Problem - Administratoren dürfen alles essen aber nicht alles machen

Hallo,

ich bin einer der Netzwerkadministratoren in einem Verbund von ca. 200 Rechnern.
Wir teilen uns den ganzen Kram mit zwei Supportern, die beiden sind dafür da, die Rechner bei den Nutzern hinzustellen, aufzubauen, in die Domäne zubringen und evtl kleinere Fehler zu beheben. Oder zB auch Software nach zu installieren.

Wir Netzwerkadministratoren kümmern uns halt ums Netzwerk, dass jeder seinen Benutzernamen bekommt, Gruppenrichtlinien etc.

bisher haben wir ohne OU's etc. gearbeitet

nun hätten wir gerne eine Gruppenrichtlinie die es uns Administratoren zB erlaubt im Active Directory rumzubasteln oder Neue Nutzer anzulegen etc. und den Supportern jenes verbietet...
allerdings brauchen Sie ja Adminrechte um zB Software zu installieren...

kann mir jemand helfen?

Danke schonmal für Ideen / Denkanstöße

Gruß Jörg
Mitglied: geTuemII
03.01.2007 um 14:55 Uhr
Dazu brauchst du nicht zwingend eine neue OU.

1. Der Einfachheit halber eine Sicherheitsgruppe Supporter einrichten und konfigurieren.

2. GPO --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Hinzufügen von Arbeitsstationen zur Domain --> Supporter hinzufügen

3. GPO --> Compuerkonfiguration --> Eingeschränkte Gruppen --> rechte Maus --> Gruppe hinzufügen --> Administratoren --> Vorsicht! Alle normal auf den Rechnern vorhandenen Mitglieder der Administratoren-Gruppe eintragen, da die Richtlinie den lokalen Eintrag der Rechner überschreibt. Und natürlich die Supporter nicht vergesssen.

geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 06:46 Uhr
hallo,

danke erstmal für die Antwort

aber ich seh da irgendwie noch Probleme, oder ich verstehe es nicht richtig...

zu 1) gute Idee ;)

zu 2) die "Supporter" sind Benutzer, dh. eine Computerkonfig. würde mir garnichts bringen, da ich ja dann die Richtlinien auf den jeweiligen Computern einschränke und nicht von diesen beiden "Benutzern/Supportern" wenn ich zB Ihren PC hinzufüge, dann könnten sie die vollen Rechte an nem anderen Computer der nicht in der OU/Sicherheitsgruppe ist nutzen. Oder geht es auch wenn ich Benutzer in diese OU/SichGruppe einfüge, gelten dann auch die Rechte?!?!

zu 3) Eingeschränkte Gruppen hab ich verstanden, das mit den lokalen Rechten ist auch kein Ding, aber wo steht was die Mitglieder der "Eingeschränkten Gruppe" können oder auch nicht können?

Vielen Dank

Gruß Jörg
Bitte warten ..
Mitglied: geTuemII
04.01.2007 um 15:44 Uhr
Hallo Schimpy,

also das Ganze nochmal langsam von Anfang an:

zu 1. Deine Support-Mitarbeiter sind Mitglied der SecGroup Benutzer (Domain-User). Sie haben keinerlei administrative Rechte, schon gar keine Rechte der Domain-Admins. Sie können also keine Clients administrieren bzw. der Domain hinzufügen. Erstelle eine SecGroup Supporter und für diejenigen Benutzer, die Support-Rechte erhalten sollen, diese Gruppe hinzu.

zu 2. Supporter sollen Clients der Domain hinzufügen können. Durch die oben genannten Einstellungen werden die Rechte der Support-Mitarbeiter nicht eingeschränkt, sondern erweitert. Sie haben ja "bis jetzt" keinerlei erweiterte Rechte, da sie Benutzer sind und für Supporter noch keine erweiterten Rechte definiert sind. Für welche Clients diese Rechte gelten, ist von dem Einsprungpukt abhängig, an den du die Policy verknüpfst. Damit haben wir die Anforderung, daß Supporter Clients in die Domain aufnehmen können, erfüllt.

zu 3. Mit den oben genannten Einstellungen fügst du Supporter den lokalen Administratoren des Clients hinzu. Damit haben sie auch alle Rechte der Administratoren auf dem Client, aber keine Admin-Rechte in der Domain. Auch hier ist entscheidend, wohin die Policy verknüpft wird. Supporter können also Software installieren und den Client administrieren, diese Anforderung ist also auch erfüllt.

Aber bitte nicht vergessen, die aktuell lokal vorhandenen Einträge mit in die Eingeschränkte Gruppe Administratoren aufzunehmen, sonst ist zb. der User Administrator am lokalen Rechner nicht mehr Mitglied der Gruppe Administratoren!

HTH geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 19:12 Uhr
klingt sehr gut

ich denke ich habs verstanden, werde das dann morgen früh mal ausprobieren!

wenns nicht klappt, komme ich auf dich zurück ;)

Vielen Dank für die Antwort

Gruß Schimpy
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO - Einschränkungen über Gruppenrichtlinien
Frage von Didi2014Windows Server4 Kommentare

Hallo, habe in einer Übung folgende Fragestellung: "In der Abteilung „Einkauf“ arbeiten 10 Mitarbeiter. Alle Mitarbeiter befinden sich in ...

Windows Server
Windows 10 ! PRO ! Gruppenrichtlinien GPO Einschränkungen
Frage von SachellenWindows Server6 Kommentare

Server: 2008 R2 Clients: 60 Thema: Umstellung auf Windows 10 Hallo liebe Mitglieder :) Entweder hasst man es oder ...

Exchange Server
Exchange 2007 + Einschränkung bei Nachrichtengröße
Frage von Fitzel69Exchange Server8 Kommentare

Hallo zusammen, anbei folgendes Problem: Wir setzen Outlook 2010 auf den Clients und als Server den Exchange 2007 ein. ...

Windows Server
"Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen,.Gruppenrichtlinien lokal - auch Admin betroffen
gelöst Frage von fidelio1Windows Server9 Kommentare

Hallo, wie die Überschrift schon sagt, habe ich n Bock geschossen. Lokal sollte keiner großartig etwas machen können (Ausführen ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 2 StundenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 6 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server15 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell10 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Windows Server
Administratoren-Gruppe abfragen?
Frage von 1410640014Windows Server6 Kommentare

Hallo, kennt jemand eine einfache (und schnelle) Möglichkeit, von allen Client-Computern im Active Directorey die Administratoren-Gruppe abzufragen, wer da ...