Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zeitweiliges Domänen-Administratorkonto

Frage Netzwerke

Mitglied: fabgg6

fabgg6 (Level 1) - Jetzt verbinden

04.05.2010 um 17:41 Uhr, 3314 Aufrufe, 9 Kommentare

Hallo Leute,

ich möchte ein paar Junioradministratoren gewisse Rechte einräumen, die sie als eingeschränkte Nutzer normalerweise nicht haben.

Es gibt immer ein paar interessierte und hilfsbereite Schüler, denen ich auch im Netzwerk verschiedene administrative Tätigkeiten erlauben möchte. Dazu habe ich ein spezielles Benutzerkonto eingerichtet, dem ich jetzt wohl noch die passenden Rechte zuordnen muss. Ich bin aber selbst nur "Hobbyadministrator".

Wir haben an der Schule eine Domäne mit einem Server (DC) unter W2003R2, einen Kommunikationsserver unter demselben OS sowie 90 Clients von Windows 2000 bis 7-64 Bit, 5 Netzwerkdrucker, etwa 60 Anwendungsprogramme und ca. 650 Nutzer mit servergespeicherten Profilen und Homeverzeichnissen. Da gibt es immer etwas zu tun, manchmal ist der Wochenplan (für 4 bezahlte Wochenstunden) so voll, dass ich wirklich etwas Hilfe in Anspruch nehmen würde. Es gibt auch ein paar geeignete Kandidaten, die gern mitmachen würden. Insbesondere ginge es um die Veränderung von Zugriffsrechten für lokale Verzeichnisse (z.B. Orbitron-TLE-Updates auch durch eingeschränkte Nutzer oder LingoPad mit einheitlichen Wörterbüchern für alle), Update- oder Neuinstallationen von Software (z. B. neues Inkscape, GeoGebra, Filius oder GIMP) und Treibern (vor allem Grafik), Datensicherungen, Verwaltung der Benutzermenüs sowie (schlimmstenfalls) das Einbinden neuer bzw. mit einem neuen Betriebssystem versehener Rechner in die Domäne.

Drei Fragen:

1. Was müsste ich wie einstellen, damit ein spezieller Nutzer, der praktisch nur einmal pro Woche für 2-3 Stunden aktiviert wird, die oben angeführten Tätigkeiten ausführen kann? (Zuordnung in die Gruppe Administratoren genügt offenbar nicht.)

2. Lässt es sich so einstellen, dass dieser Nutzer keinen Zugriff auf die Home- und Profilverzeichnisse der übrigen Nutzer hat. (Ich vermute, dass ich hier nur diesem Nutzer den Zugriff auf das übergeordnete Verzeichnis verweigern muss, dass es also möglich ist.)

3. Kann man auch einstellen, dass dieser Nutzer auf dem Server bestimmte Programme (z.B. Benutzerverwaltung) nicht verwenden kann. Notfalls könnte man ihm auch den Remote-Zugriff auf den Server verbieten?

Vielen Dank im Voraus, GG.
Mitglied: education
04.05.2010 um 18:16 Uhr
nabend.

eine OU erstellen.
Gruppe darin erstellen
gruppenrichtlinie erstellen was die gruppe darf und was nicht.

zu 1.: den benutzer die anmeldezeiten einschränken

zu 2.: ja ist möglich. zugriff für erstellte gruppe verweigern

zu 3. einstellung in der gruppenrichtlinie
Bitte warten ..
Mitglied: lefgruen
04.05.2010 um 19:42 Uhr
Hallo,

ich postuliere: Ein Admin ist ein Admin ist ein Admin ...

Wird ein User in die Gruppe der Domänen-Admins aufgenommen, dann ........

Man könnte zeitgesteuert den User in die Gruppe der Domänen-Admins einfügen / aus der Gruppe entfernen.

Die Home- und Profilverzeichnisse der Benutzer sind auch für den Administrator tabu, nur die Besitzer erhalten darauf Zugriff.

Ein Mitglied der Gruppe der Domänenadministratoren kann so ziemlich alles.

Für spezielle Tätigkeiten legt man besondere Benutzer an, fügt diese besonderen Sicherheitsgruppen hinzu, z..B. Serveradministratoren.

Man schaue sich die Möglichkeiten der Objektverwaltung an.
Bitte warten ..
Mitglied: DerWoWusste
04.05.2010 um 20:47 Uhr
Hi.
Frage 1 ist schwierig, da recht ungenau. Zugriffsrechte für lokale Verzeichnisse würde ich über GPOs setzen, das ist ein Klacks. Gibt es diese Verzeichnisse auf einigen Rechnern nicht, stört das auch keinen. Updates/Patches: Patchmanagement und Softwareverteilung sind zwar nicht "mal so eben", aber auch keine Wissenschaft. Mach Dich schlau über "software publishing" (=Installieren ohne Adminrechte), unattended installations mit Start-/Shutdownskripten (siehe auch: appdeploy.com), ebenso auf jeden Fall WSUS (kann auch Treiber) und PSI (neu: mit WSUS-Plugin!)
2: Nein. Aber man kann Überwachungsrichtlinien schalten und mit schrecklicher Vergeltung (kein Pausenbrot) drohen, wenn die fündig werden
3. Klar, über NTFS+Überwachung. Remotezugriff kannst Du natürlich verbieten über secpol.msc ->Rechtezuweisung

Nebenbei: 650 User und 4 Wochenstunden? Das ist viel zu wenig, lass Dir das nicht bieten. Dann anfangen Schüler ranzulassen? Da wäre ich ganz schwer dagegen.
Bitte warten ..
Mitglied: fabgg6
05.05.2010 um 13:43 Uhr
Hallo und danke erstmal für die Antworten. Vielleicht habe ich mich nicht genau genug ausgedrückt.

Ich habe es jetzt so gemacht, dass dieser spezielle Nutzer in die Gruppe der Domänen-Admins aufgenommen wurde. Ich kann ihn per Rechtsklick in der Domäne deaktivieren und bei Bedarf aktivieren. Die Schüler arbeiten ja sonst mit ihrem eigenen Benutzerkonto mit den üblichen Rechten. Dieses spezielle Konto ist nur in den Zeiten aktiv, in denen administrativ gearbeitet werden soll. Das ist zwar Handarbeit, dafür aber sehr flexibel.

Außerdem habe ich bereits ein Verzeichnis auf dem Server, in das er nicht hineinschauen soll, für ihn speziell gesperrt ("Inhalt auflisten" sowie "Lesen/Ausführen" verweigert). Das klappt. Installieren und lokale Ordnerrechte ändern kann er jetzt auch.

Windows- bzw. MS-Updates gehen ohnehin automatisch über WSUS. Es ging mir mehr um solche Updates, die man offenbar noch nicht automatisieren kann, wie oben erwähnt, neue Versionen von Inkscape, GIMP, Filius, Firefox u.ä. zu denen es keine msi-Dateien gibt.

Jetzt muss ich ihm nur noch einige Anwendungen auf dem Server verbieten. Geht das einzeln (z. B. über Sicherheitseinstellungen für die exe-Dateien) oder muss ich in den Gruppenrichtlinien etwas umstellen und wenn ja, wo?

Gruß, GG.
Bitte warten ..
Mitglied: DerWoWusste
05.05.2010 um 14:45 Uhr
Ich würde die Zeit in Skripting oder den Ausbau von WSUS+PSI stecken, anstatt Schüler als Domänenadmins ranzulassen. Bei Missbrauch bist Du der Dumme.
Du kannst über PSI alles mögliche aktualisieren. Was damit nicht geht, baust Du Dir als MSI mit WIWW (Vinsvision) oder wininstall LE 10 (scalable software), beides Freeware.
Bitte warten ..
Mitglied: fabgg6
06.05.2010 um 09:56 Uhr
Das Problem ist, dass die Stadt kein Geld für deratige Software ausgeben will. PSI ist nämlich keine Freeware, nur für den Privatgebrauch. CSI kostet ab 5000 Euro pro Jahr. Das ist nicht in unserer Liga.

Andere Verfahren erscheinen mir (nach erster Betrachtung) so aufwändig, dass ich in der Zwischenzeit schon mehrere Räume aktualisiert habe.
Bitte warten ..
Mitglied: DerWoWusste
06.05.2010 um 10:40 Uhr
Zu CSI: Es kostet 20€ pro Lizenz, ich hab erst vor kurzem angefragt. Bei mehr als 100 PCs noch günstiger. Der Rest kostet nichts. Von "derartiger" Software war nicht die Rede, lediglich von PSI/CSI als Anregung.
Bitte warten ..
Mitglied: fabgg6
06.05.2010 um 15:54 Uhr
Ist die Lizenz "zeitlos" oder muss man jährlich die 20 € bezahlen?

Leider ist die Situation bei uns so, dass die Leute in der Stadtverwaltung selten Verständnis für administrative Arbeiten aufbringen. Dass dies alles Zeit und mitunter auch Geld kostet, ... Jedenfalls werden dafür keine Mittel eingeplant. Auf der anderen Seite fühlt man sich als Lehrer natürlich dafür verantwortlich, dass alles läuft und das tut es im Augenblick eigentlich ganz gut.

Nachdem ich Ende letzten Jahres den WSUS eingerichtet habe, bin ich mittlerweile auf den Geschmack gekommen und würde gern mehr Routinetätigkeiten komplett automatisieren. Am besten wäre es, wenn ich mir mal ein Profinetz anschauen und mit einem richtigen Admin reden könnte, damit ich überhaupt mal mitbekomme, was alles geht.

Ich nehme an, dass man pro Client eine Lizenz benötigt. Das wären dann auch rund 2.000 Euro. Wenn diese Lizenz dann jahrelang gilt, kann ich bei der Verwaltung mal anfragen, damit es eventuell in den Plan für 2011 aufgenommen wird. Gegenwärtig versuche ich gerade 22,90 € pro Monat locker zu machen, damit wir unsere Internetverbindung von 2 MBit/s auf 32 aufstocken können.

Vielen Dank an Dich, DerWoWusste.
Bitte warten ..
Mitglied: DerWoWusste
06.05.2010 um 17:05 Uhr
Oh, das sollte ich wohl erwähnen: die Kosten waren für 2 Jahre.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Administratorkonto in Domäne nicht vorhanden
Frage von manuel1985Windows Server8 Kommentare

Hallo Mitstreiter, ich habe folgendes Problem: Bei einem Kunden existiert in einer AD-Domäne kein Domäne\Administrator. Die Domäne war mal ...

Windows Installation
Administratorkonto aktivieren oder nicht?
Frage von markaurelWindows Installation6 Kommentare

Hallo zusammen! Ich hab früher (Win7) mmer das Administratorkonto (lokal) bei Neuinstallationen aktiviert und anschließend den Rechner der Domäne ...

Windows Netzwerk
Windowsfirewall in Server 2008 spinnt zeitweilig
Frage von DerWoWussteWindows Netzwerk4 Kommentare

Moin Kollegen. Diese Frage richtet sich an Admins, die die Windows-Firewall auf Server 2008 (erste Generation) nutzen/genutzt haben und ...

Windows 10
Apps unter Windows 10 mit "Administratorkonto" öffnen?
Frage von NebuchadWindows 101 Kommentar

Hallo, seit einiger Zeit habe ich das Problem, dass sich Apps/Programme unter Win 10 mit einem ganz normalen Konto ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 6 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 10 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 10 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 13 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...