Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zeitweiliges Domänen-Administratorkonto

Frage Netzwerke

Mitglied: fabgg6

fabgg6 (Level 1) - Jetzt verbinden

04.05.2010 um 17:41 Uhr, 3267 Aufrufe, 9 Kommentare

Hallo Leute,

ich möchte ein paar Junioradministratoren gewisse Rechte einräumen, die sie als eingeschränkte Nutzer normalerweise nicht haben.

Es gibt immer ein paar interessierte und hilfsbereite Schüler, denen ich auch im Netzwerk verschiedene administrative Tätigkeiten erlauben möchte. Dazu habe ich ein spezielles Benutzerkonto eingerichtet, dem ich jetzt wohl noch die passenden Rechte zuordnen muss. Ich bin aber selbst nur "Hobbyadministrator".

Wir haben an der Schule eine Domäne mit einem Server (DC) unter W2003R2, einen Kommunikationsserver unter demselben OS sowie 90 Clients von Windows 2000 bis 7-64 Bit, 5 Netzwerkdrucker, etwa 60 Anwendungsprogramme und ca. 650 Nutzer mit servergespeicherten Profilen und Homeverzeichnissen. Da gibt es immer etwas zu tun, manchmal ist der Wochenplan (für 4 bezahlte Wochenstunden) so voll, dass ich wirklich etwas Hilfe in Anspruch nehmen würde. Es gibt auch ein paar geeignete Kandidaten, die gern mitmachen würden. Insbesondere ginge es um die Veränderung von Zugriffsrechten für lokale Verzeichnisse (z.B. Orbitron-TLE-Updates auch durch eingeschränkte Nutzer oder LingoPad mit einheitlichen Wörterbüchern für alle), Update- oder Neuinstallationen von Software (z. B. neues Inkscape, GeoGebra, Filius oder GIMP) und Treibern (vor allem Grafik), Datensicherungen, Verwaltung der Benutzermenüs sowie (schlimmstenfalls) das Einbinden neuer bzw. mit einem neuen Betriebssystem versehener Rechner in die Domäne.

Drei Fragen:

1. Was müsste ich wie einstellen, damit ein spezieller Nutzer, der praktisch nur einmal pro Woche für 2-3 Stunden aktiviert wird, die oben angeführten Tätigkeiten ausführen kann? (Zuordnung in die Gruppe Administratoren genügt offenbar nicht.)

2. Lässt es sich so einstellen, dass dieser Nutzer keinen Zugriff auf die Home- und Profilverzeichnisse der übrigen Nutzer hat. (Ich vermute, dass ich hier nur diesem Nutzer den Zugriff auf das übergeordnete Verzeichnis verweigern muss, dass es also möglich ist.)

3. Kann man auch einstellen, dass dieser Nutzer auf dem Server bestimmte Programme (z.B. Benutzerverwaltung) nicht verwenden kann. Notfalls könnte man ihm auch den Remote-Zugriff auf den Server verbieten?

Vielen Dank im Voraus, GG.
Mitglied: education
04.05.2010 um 18:16 Uhr
nabend.

eine OU erstellen.
Gruppe darin erstellen
gruppenrichtlinie erstellen was die gruppe darf und was nicht.

zu 1.: den benutzer die anmeldezeiten einschränken

zu 2.: ja ist möglich. zugriff für erstellte gruppe verweigern

zu 3. einstellung in der gruppenrichtlinie
Bitte warten ..
Mitglied: lefgruen
04.05.2010 um 19:42 Uhr
Hallo,

ich postuliere: Ein Admin ist ein Admin ist ein Admin ...

Wird ein User in die Gruppe der Domänen-Admins aufgenommen, dann ........

Man könnte zeitgesteuert den User in die Gruppe der Domänen-Admins einfügen / aus der Gruppe entfernen.

Die Home- und Profilverzeichnisse der Benutzer sind auch für den Administrator tabu, nur die Besitzer erhalten darauf Zugriff.

Ein Mitglied der Gruppe der Domänenadministratoren kann so ziemlich alles.

Für spezielle Tätigkeiten legt man besondere Benutzer an, fügt diese besonderen Sicherheitsgruppen hinzu, z..B. Serveradministratoren.

Man schaue sich die Möglichkeiten der Objektverwaltung an.
Bitte warten ..
Mitglied: DerWoWusste
04.05.2010 um 20:47 Uhr
Hi.
Frage 1 ist schwierig, da recht ungenau. Zugriffsrechte für lokale Verzeichnisse würde ich über GPOs setzen, das ist ein Klacks. Gibt es diese Verzeichnisse auf einigen Rechnern nicht, stört das auch keinen. Updates/Patches: Patchmanagement und Softwareverteilung sind zwar nicht "mal so eben", aber auch keine Wissenschaft. Mach Dich schlau über "software publishing" (=Installieren ohne Adminrechte), unattended installations mit Start-/Shutdownskripten (siehe auch: appdeploy.com), ebenso auf jeden Fall WSUS (kann auch Treiber) und PSI (neu: mit WSUS-Plugin!)
2: Nein. Aber man kann Überwachungsrichtlinien schalten und mit schrecklicher Vergeltung (kein Pausenbrot) drohen, wenn die fündig werden
3. Klar, über NTFS+Überwachung. Remotezugriff kannst Du natürlich verbieten über secpol.msc ->Rechtezuweisung

Nebenbei: 650 User und 4 Wochenstunden? Das ist viel zu wenig, lass Dir das nicht bieten. Dann anfangen Schüler ranzulassen? Da wäre ich ganz schwer dagegen.
Bitte warten ..
Mitglied: fabgg6
05.05.2010 um 13:43 Uhr
Hallo und danke erstmal für die Antworten. Vielleicht habe ich mich nicht genau genug ausgedrückt.

Ich habe es jetzt so gemacht, dass dieser spezielle Nutzer in die Gruppe der Domänen-Admins aufgenommen wurde. Ich kann ihn per Rechtsklick in der Domäne deaktivieren und bei Bedarf aktivieren. Die Schüler arbeiten ja sonst mit ihrem eigenen Benutzerkonto mit den üblichen Rechten. Dieses spezielle Konto ist nur in den Zeiten aktiv, in denen administrativ gearbeitet werden soll. Das ist zwar Handarbeit, dafür aber sehr flexibel.

Außerdem habe ich bereits ein Verzeichnis auf dem Server, in das er nicht hineinschauen soll, für ihn speziell gesperrt ("Inhalt auflisten" sowie "Lesen/Ausführen" verweigert). Das klappt. Installieren und lokale Ordnerrechte ändern kann er jetzt auch.

Windows- bzw. MS-Updates gehen ohnehin automatisch über WSUS. Es ging mir mehr um solche Updates, die man offenbar noch nicht automatisieren kann, wie oben erwähnt, neue Versionen von Inkscape, GIMP, Filius, Firefox u.ä. zu denen es keine msi-Dateien gibt.

Jetzt muss ich ihm nur noch einige Anwendungen auf dem Server verbieten. Geht das einzeln (z. B. über Sicherheitseinstellungen für die exe-Dateien) oder muss ich in den Gruppenrichtlinien etwas umstellen und wenn ja, wo?

Gruß, GG.
Bitte warten ..
Mitglied: DerWoWusste
05.05.2010 um 14:45 Uhr
Ich würde die Zeit in Skripting oder den Ausbau von WSUS+PSI stecken, anstatt Schüler als Domänenadmins ranzulassen. Bei Missbrauch bist Du der Dumme.
Du kannst über PSI alles mögliche aktualisieren. Was damit nicht geht, baust Du Dir als MSI mit WIWW (Vinsvision) oder wininstall LE 10 (scalable software), beides Freeware.
Bitte warten ..
Mitglied: fabgg6
06.05.2010 um 09:56 Uhr
Das Problem ist, dass die Stadt kein Geld für deratige Software ausgeben will. PSI ist nämlich keine Freeware, nur für den Privatgebrauch. CSI kostet ab 5000 Euro pro Jahr. Das ist nicht in unserer Liga.

Andere Verfahren erscheinen mir (nach erster Betrachtung) so aufwändig, dass ich in der Zwischenzeit schon mehrere Räume aktualisiert habe.
Bitte warten ..
Mitglied: DerWoWusste
06.05.2010 um 10:40 Uhr
Zu CSI: Es kostet 20€ pro Lizenz, ich hab erst vor kurzem angefragt. Bei mehr als 100 PCs noch günstiger. Der Rest kostet nichts. Von "derartiger" Software war nicht die Rede, lediglich von PSI/CSI als Anregung.
Bitte warten ..
Mitglied: fabgg6
06.05.2010 um 15:54 Uhr
Ist die Lizenz "zeitlos" oder muss man jährlich die 20 € bezahlen?

Leider ist die Situation bei uns so, dass die Leute in der Stadtverwaltung selten Verständnis für administrative Arbeiten aufbringen. Dass dies alles Zeit und mitunter auch Geld kostet, ... Jedenfalls werden dafür keine Mittel eingeplant. Auf der anderen Seite fühlt man sich als Lehrer natürlich dafür verantwortlich, dass alles läuft und das tut es im Augenblick eigentlich ganz gut.

Nachdem ich Ende letzten Jahres den WSUS eingerichtet habe, bin ich mittlerweile auf den Geschmack gekommen und würde gern mehr Routinetätigkeiten komplett automatisieren. Am besten wäre es, wenn ich mir mal ein Profinetz anschauen und mit einem richtigen Admin reden könnte, damit ich überhaupt mal mitbekomme, was alles geht.

Ich nehme an, dass man pro Client eine Lizenz benötigt. Das wären dann auch rund 2.000 Euro. Wenn diese Lizenz dann jahrelang gilt, kann ich bei der Verwaltung mal anfragen, damit es eventuell in den Plan für 2011 aufgenommen wird. Gegenwärtig versuche ich gerade 22,90 € pro Monat locker zu machen, damit wir unsere Internetverbindung von 2 MBit/s auf 32 aufstocken können.

Vielen Dank an Dich, DerWoWusste.
Bitte warten ..
Mitglied: DerWoWusste
06.05.2010 um 17:05 Uhr
Oh, das sollte ich wohl erwähnen: die Kosten waren für 2 Jahre.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Windows 10
gelöst Windows 10 - Domänen Benutzerprofil reparieren (2)

Frage von cuilster zum Thema Windows 10 ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...