Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win - Gruppenrichtlinien - Einschränkungen

Frage Microsoft

Mitglied: Schimpy

Schimpy (Level 1) - Jetzt verbinden

03.01.2007, aktualisiert 04.01.2007, 4277 Aufrufe, 4 Kommentare

Problem - Administratoren dürfen alles essen aber nicht alles machen

Hallo,

ich bin einer der Netzwerkadministratoren in einem Verbund von ca. 200 Rechnern.
Wir teilen uns den ganzen Kram mit zwei Supportern, die beiden sind dafür da, die Rechner bei den Nutzern hinzustellen, aufzubauen, in die Domäne zubringen und evtl kleinere Fehler zu beheben. Oder zB auch Software nach zu installieren.

Wir Netzwerkadministratoren kümmern uns halt ums Netzwerk, dass jeder seinen Benutzernamen bekommt, Gruppenrichtlinien etc.

bisher haben wir ohne OU's etc. gearbeitet

nun hätten wir gerne eine Gruppenrichtlinie die es uns Administratoren zB erlaubt im Active Directory rumzubasteln oder Neue Nutzer anzulegen etc. und den Supportern jenes verbietet...
allerdings brauchen Sie ja Adminrechte um zB Software zu installieren...

kann mir jemand helfen?

Danke schonmal für Ideen / Denkanstöße

Gruß Jörg
Mitglied: geTuemII
03.01.2007 um 14:55 Uhr
Dazu brauchst du nicht zwingend eine neue OU.

1. Der Einfachheit halber eine Sicherheitsgruppe Supporter einrichten und konfigurieren.

2. GPO --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Hinzufügen von Arbeitsstationen zur Domain --> Supporter hinzufügen

3. GPO --> Compuerkonfiguration --> Eingeschränkte Gruppen --> rechte Maus --> Gruppe hinzufügen --> Administratoren --> Vorsicht! Alle normal auf den Rechnern vorhandenen Mitglieder der Administratoren-Gruppe eintragen, da die Richtlinie den lokalen Eintrag der Rechner überschreibt. Und natürlich die Supporter nicht vergesssen.

geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 06:46 Uhr
hallo,

danke erstmal für die Antwort

aber ich seh da irgendwie noch Probleme, oder ich verstehe es nicht richtig...

zu 1) gute Idee ;)

zu 2) die "Supporter" sind Benutzer, dh. eine Computerkonfig. würde mir garnichts bringen, da ich ja dann die Richtlinien auf den jeweiligen Computern einschränke und nicht von diesen beiden "Benutzern/Supportern" wenn ich zB Ihren PC hinzufüge, dann könnten sie die vollen Rechte an nem anderen Computer der nicht in der OU/Sicherheitsgruppe ist nutzen. Oder geht es auch wenn ich Benutzer in diese OU/SichGruppe einfüge, gelten dann auch die Rechte?!?!

zu 3) Eingeschränkte Gruppen hab ich verstanden, das mit den lokalen Rechten ist auch kein Ding, aber wo steht was die Mitglieder der "Eingeschränkten Gruppe" können oder auch nicht können?

Vielen Dank

Gruß Jörg
Bitte warten ..
Mitglied: geTuemII
04.01.2007 um 15:44 Uhr
Hallo Schimpy,

also das Ganze nochmal langsam von Anfang an:

zu 1. Deine Support-Mitarbeiter sind Mitglied der SecGroup Benutzer (Domain-User). Sie haben keinerlei administrative Rechte, schon gar keine Rechte der Domain-Admins. Sie können also keine Clients administrieren bzw. der Domain hinzufügen. Erstelle eine SecGroup Supporter und für diejenigen Benutzer, die Support-Rechte erhalten sollen, diese Gruppe hinzu.

zu 2. Supporter sollen Clients der Domain hinzufügen können. Durch die oben genannten Einstellungen werden die Rechte der Support-Mitarbeiter nicht eingeschränkt, sondern erweitert. Sie haben ja "bis jetzt" keinerlei erweiterte Rechte, da sie Benutzer sind und für Supporter noch keine erweiterten Rechte definiert sind. Für welche Clients diese Rechte gelten, ist von dem Einsprungpukt abhängig, an den du die Policy verknüpfst. Damit haben wir die Anforderung, daß Supporter Clients in die Domain aufnehmen können, erfüllt.

zu 3. Mit den oben genannten Einstellungen fügst du Supporter den lokalen Administratoren des Clients hinzu. Damit haben sie auch alle Rechte der Administratoren auf dem Client, aber keine Admin-Rechte in der Domain. Auch hier ist entscheidend, wohin die Policy verknüpft wird. Supporter können also Software installieren und den Client administrieren, diese Anforderung ist also auch erfüllt.

Aber bitte nicht vergessen, die aktuell lokal vorhandenen Einträge mit in die Eingeschränkte Gruppe Administratoren aufzunehmen, sonst ist zb. der User Administrator am lokalen Rechner nicht mehr Mitglied der Gruppe Administratoren!

HTH geTuemII
Bitte warten ..
Mitglied: Schimpy
04.01.2007 um 19:12 Uhr
klingt sehr gut

ich denke ich habs verstanden, werde das dann morgen früh mal ausprobieren!

wenns nicht klappt, komme ich auf dich zurück ;)

Vielen Dank für die Antwort

Gruß Schimpy
Bitte warten ..
Ähnliche Inhalte
Windows Server
Win Server 2008 R2: slow RDP download (2)

Frage von JoergZ zum Thema Windows Server ...

Windows Server
Hintergrundbild per Gruppenrichtlinien wird nicht aktualisiert (4)

Frage von florianza zum Thema Windows Server ...

Windows 10
Win-Updates trotz deaktiviertem Dienst? (1)

Frage von Scour1 zum Thema Windows 10 ...

Windows Netzwerk
gelöst Gruppenrichtlinien Item-Level targeting per Power Shell ändern (9)

Frage von Lukas4580 zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(6)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Heiß diskutierte Inhalte
Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Linux
gelöst Google Chrome startet nicht (12)

Frage von Thomas91 zum Thema Linux ...