Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win - Gruppenrichtlinien - Einschränkungen

Frage Microsoft

Mitglied: Schimpy

Schimpy (Level 1) - Jetzt verbinden

03.01.2007, aktualisiert 04.01.2007, 4268 Aufrufe, 4 Kommentare

Problem - Administratoren dürfen alles essen aber nicht alles machen

Hallo,

ich bin einer der Netzwerkadministratoren in einem Verbund von ca. 200 Rechnern.
Wir teilen uns den ganzen Kram mit zwei Supportern, die beiden sind dafür da, die Rechner bei den Nutzern hinzustellen, aufzubauen, in die Domäne zubringen und evtl kleinere Fehler zu beheben. Oder zB auch Software nach zu installieren.

Wir Netzwerkadministratoren kümmern uns halt ums Netzwerk, dass jeder seinen Benutzernamen bekommt, Gruppenrichtlinien etc.

bisher haben wir ohne OU's etc. gearbeitet

nun hätten wir gerne eine Gruppenrichtlinie die es uns Administratoren zB erlaubt im Active Directory rumzubasteln oder Neue Nutzer anzulegen etc. und den Supportern jenes verbietet...
allerdings brauchen Sie ja Adminrechte um zB Software zu installieren...

kann mir jemand helfen?

Danke schonmal für Ideen / Denkanstöße

Gruß Jörg
Mitglied: geTuemII
03.01.2007 um 14:55 Uhr
Dazu brauchst du nicht zwingend eine neue OU.

1. Der Einfachheit halber eine Sicherheitsgruppe Supporter einrichten und konfigurieren.

2. GPO --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Hinzufügen von Arbeitsstationen zur Domain --> Supporter hinzufügen

3. GPO --> Compuerkonfiguration --> Eingeschränkte Gruppen --> rechte Maus --> Gruppe hinzufügen --> Administratoren --> Vorsicht! Alle normal auf den Rechnern vorhandenen Mitglieder der Administratoren-Gruppe eintragen, da die Richtlinie den lokalen Eintrag der Rechner überschreibt. Und natürlich die Supporter nicht vergesssen.

geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 06:46 Uhr
hallo,

danke erstmal für die Antwort

aber ich seh da irgendwie noch Probleme, oder ich verstehe es nicht richtig...

zu 1) gute Idee ;)

zu 2) die "Supporter" sind Benutzer, dh. eine Computerkonfig. würde mir garnichts bringen, da ich ja dann die Richtlinien auf den jeweiligen Computern einschränke und nicht von diesen beiden "Benutzern/Supportern" wenn ich zB Ihren PC hinzufüge, dann könnten sie die vollen Rechte an nem anderen Computer der nicht in der OU/Sicherheitsgruppe ist nutzen. Oder geht es auch wenn ich Benutzer in diese OU/SichGruppe einfüge, gelten dann auch die Rechte?!?!

zu 3) Eingeschränkte Gruppen hab ich verstanden, das mit den lokalen Rechten ist auch kein Ding, aber wo steht was die Mitglieder der "Eingeschränkten Gruppe" können oder auch nicht können?

Vielen Dank

Gruß Jörg
Bitte warten ..
Mitglied: geTuemII
04.01.2007 um 15:44 Uhr
Hallo Schimpy,

also das Ganze nochmal langsam von Anfang an:

zu 1. Deine Support-Mitarbeiter sind Mitglied der SecGroup Benutzer (Domain-User). Sie haben keinerlei administrative Rechte, schon gar keine Rechte der Domain-Admins. Sie können also keine Clients administrieren bzw. der Domain hinzufügen. Erstelle eine SecGroup Supporter und für diejenigen Benutzer, die Support-Rechte erhalten sollen, diese Gruppe hinzu.

zu 2. Supporter sollen Clients der Domain hinzufügen können. Durch die oben genannten Einstellungen werden die Rechte der Support-Mitarbeiter nicht eingeschränkt, sondern erweitert. Sie haben ja "bis jetzt" keinerlei erweiterte Rechte, da sie Benutzer sind und für Supporter noch keine erweiterten Rechte definiert sind. Für welche Clients diese Rechte gelten, ist von dem Einsprungpukt abhängig, an den du die Policy verknüpfst. Damit haben wir die Anforderung, daß Supporter Clients in die Domain aufnehmen können, erfüllt.

zu 3. Mit den oben genannten Einstellungen fügst du Supporter den lokalen Administratoren des Clients hinzu. Damit haben sie auch alle Rechte der Administratoren auf dem Client, aber keine Admin-Rechte in der Domain. Auch hier ist entscheidend, wohin die Policy verknüpft wird. Supporter können also Software installieren und den Client administrieren, diese Anforderung ist also auch erfüllt.

Aber bitte nicht vergessen, die aktuell lokal vorhandenen Einträge mit in die Eingeschränkte Gruppe Administratoren aufzunehmen, sonst ist zb. der User Administrator am lokalen Rechner nicht mehr Mitglied der Gruppe Administratoren!

HTH geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 19:12 Uhr
klingt sehr gut

ich denke ich habs verstanden, werde das dann morgen früh mal ausprobieren!

wenns nicht klappt, komme ich auf dich zurück ;)

Vielen Dank für die Antwort

Gruß Schimpy
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows 10 ! PRO ! Gruppenrichtlinien GPO Einschränkungen (6)

Frage von Sachellen zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...