none
Wie kann ich einem Benutzer lokale, gleichzeitig aber keine Netzwerkadministratorrechte zuweisen? RRS feed

  • Frage

  • Guten Tag,

    kennt jemand eine Antwort auf die oben angegebene Frage? Ich weiß nur, wie man beide Administratorenrechte erhält, aber nicht nur eines?
    Montag, 2. November 2009 11:14

Antworten

  • Hallo Hans,

    wie oben schon gesagt: Lokale Administrator-Rechte haben keine Domänen-Administrator Rechte.

    Es sei denn, Du machst eine Zuweisung in die Builtin Gruppe "Administratoren" auzf einem DC.
    Alternativ dazu hat der lokale Benutzer den gleichen Benutzernamen und das gleiche Kennwort wie ein Domänen-Admin. Auch dann könnte es dazu kommen, daß die Rechte höher erscheinen als sie sind.

    Sollte es bei Dir trotzdem zu ungewünschten Rechteerhöhungen kommen, dann müßtest Du Dein Szenario vielleicht etwas genauer beschreiben. Mit den bisherigen Angaben kann man Dir kaum helfen.

    P.S.: Ein lokaler Administrator hat eine ganze Menge Rechte, die auch in einer DOmänenumgebung zu einem Problem werden können. Daher ist es empfehlenswert, lokalen Benutzer keine Admin-Rechte zu geben. Softwareinstallation etc. ist Aufgabe der Administratoren, nicht einzelner Benutzer.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Montag, 2. November 2009 12:16
    Beantworter

Alle Antworten

  • Hallo Hans,

    ein "lokaler" Administrator hat keine Administrativen Berechtigungen im Netzwerk. Wie ist Deine Frage gemeint - kannst Du die Fragestellung vielleicht noch etwas genauer erläutern?

    Viele Grüße Fabian
    http://blogs.technet.com/deds
    Montag, 2. November 2009 11:42
    Beantworter
  • Hallo Fabian,

    wenn man einen Benutzer anlegt, hat dieser keine Administratorrechte. Wenn ich diesem dann aber dann welche zuweise, hat er nicht nur lokale Administratorrechte, sondern auch Vollzugriff auf die Domäne. Der Benutzer soll am besten nur Software installieren und aktuallisieren können.
    Montag, 2. November 2009 11:51
  • Hallo Hans,

    wie oben schon gesagt: Lokale Administrator-Rechte haben keine Domänen-Administrator Rechte.

    Es sei denn, Du machst eine Zuweisung in die Builtin Gruppe "Administratoren" auzf einem DC.
    Alternativ dazu hat der lokale Benutzer den gleichen Benutzernamen und das gleiche Kennwort wie ein Domänen-Admin. Auch dann könnte es dazu kommen, daß die Rechte höher erscheinen als sie sind.

    Sollte es bei Dir trotzdem zu ungewünschten Rechteerhöhungen kommen, dann müßtest Du Dein Szenario vielleicht etwas genauer beschreiben. Mit den bisherigen Angaben kann man Dir kaum helfen.

    P.S.: Ein lokaler Administrator hat eine ganze Menge Rechte, die auch in einer DOmänenumgebung zu einem Problem werden können. Daher ist es empfehlenswert, lokalen Benutzer keine Admin-Rechte zu geben. Softwareinstallation etc. ist Aufgabe der Administratoren, nicht einzelner Benutzer.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Montag, 2. November 2009 12:16
    Beantworter
  • Hi Fabian und Heinz,

    > Softwareinstallation etc. ist Aufgabe der Administratoren, nicht einzelner Benutzer.

    Was manchmal gerade z.B in SBS Umfeld kaum zu realisieren ist.

    Ich löse solche Sachen mit dem Stichwort: "Eingeschränkte Gruppen"

    Aber dazu benötigen wir mehr Infos vom OP, wie welches BS usw.

    Gruß Ralph Andreas Altermann
    Montag, 2. November 2009 18:51
  • Hi,

    beschätige dich mal hiermit:
    http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

    hth
    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Dienstag, 3. November 2009 22:39
  • Hi Leute,

    vielleicht irre ich mich da, aber aus meiner Sicht gehen die "eingeschränkten Gruppen" am Thema vorbei. Laut Hans erhält er domänenweite administrative Rechte, sobald er einen Benutzer lokal zum Administrator macht. Das kann nicht "korrekt" sein, ich vermute also andere Hintergründe dafür (siehe oben).

    Aber wenn sich Hans nicht mehr äußert, werden wir den Hintergrund nicht mehr erfahren...

    Thema eingeschränkte Gruppen und Administrationsrechte: Auch wenn es in kleineren Umgebungen keinen dedizierten Admin gibt, sollte zumindest eine Kontentrennung zwischen Arbeitskonto der (SBS-) Domäne und dem lokalen administrativen Account erfolgen. Nur somit ist eine höhere Sicherherheit zu erreichen.
    Das Argument "in kleineren Umgebungen ist das nicht zu realisieren" halte ich für fachlich nicht korrekt - mir wäre kaum eine Umgebung bekannt, in der ein normaler Benutzer den ganzen Arbeitstag administrative Berechtigungen auf seinem Client (oder sogar der Domäne) benötigt. :-)
    Von daher macht auch hier eine Trennung Sinn.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Mittwoch, 4. November 2009 07:10
    Beantworter
  • Hi Fabian,

    >Von daher macht auch hier eine Trennung Sinn.
    Da gehen wir -denke ich - voll und ganz dakor.

    >Das Argument "in kleineren Umgebungen ist das nicht zu realisieren" halte ich für fachlich nicht korrekt
    Das war auch nicht meine Aussage, aber einige SBS-Feature laufen halt - gerade - in der Einrichtungsphase
    nur, wenn der neue User lokale administrative Rechte hat. (z.B. Profilübernahme, Faxclientinstallation usw.)
    Daher halte ich gerade die Möglichkeit mit "Eingeschränkten Gruppen" für sehr vorteilhaft, in dem man temporär
    administrativ den Usern begrenzt per Mausklick höhere Rechte zuordnen und wieder entfernen kann.
    Gruß Ralph Andreas Altermann
    Mittwoch, 4. November 2009 09:10
  • Hi Ralph Andreas,

    ok - bei der Präzisierung von Dir auf "temporär" erhöhte Rechte kann ich mitgehen. Generell sind erhöhte Rechte für "längere Zeit" als nur die Installationsphasen problematisch. Das war meine Argumentation, da vorher nicht von einem begrenzten Zeitraum gesprochen wurde.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Mittwoch, 4. November 2009 11:03
    Beantworter
  • Leider ist es so, dass manche Software, wie z B die Adobe Produkte auch für Updates einzuspielen schon Adminidtator rechte lokal fordern. Und im Augenblick kommen gerade von diesem Hersteller viele Updates in kurzen Abständen. Da kann man schon mal auf 'dumme' Gedanken kommen.

    Wir haben uns dazu einen User gemacht, mit dem man dann diese Aufgaben erledigen kann.

    Nur haben wir seit kurzem das Problem, dass bei diesem User und auch alten Usern (waren alles Administratoren), die nur lokal, also nicht im DC existieren, die Einstellung in der Benutzergruppe unter Windows XP Pro auf Debugging User springt. Damit kann ich nichts installieren. Bisher habe ich es immer noch geschafft wenigstens für kurze Zeit den user mit Adminrechte zu produzieren.  

    Unser Server ist Wndows 2008 R2 die Arbeistationen isnd Windows XP por SP3 aktuelle Patches. Der Windows Servver ist unser erster, es laufen auch andere OS weiter auf anderen Servern. Vor Einführung des Windows-Servers waren alle Arbeitsstationenuser mit Administratorrechten.

    Also was ist passiert mit den Usereinstellungen? Wie kann ich dem zur installation vorgesehenen User wieder fix Administratorrechte geben?

     


    LG Leseratte
    Mittwoch, 10. November 2010 17:09
  • Am 10.11.2010 schrieb Leseratte:

    Leider ist es so, dass manche Software, wie z B die Adobe Produkte auch für Updates einzuspielen schon Adminidtator rechte lokal fordern. Und im Augenblick kommen gerade von diesem Hersteller viele Updates in kurzen Abständen. Da kann man schon mal auf 'dumme' Gedanken kommen.

    In Kombination mit dem WSUS hilft der Local Update Publisher
    http://sourceforge.net/projects/localupdatepubl/ bestimmt diese
    Updates einfach zu verteilen. Ansonsten kann man via GPO im AD vieles
    an Software verteilen.

    Nur haben wir seit kurzem das Problem, dass bei diesem User und auch alten Usern (waren alles Administratoren), die nur lokal, also nicht im DC existieren, die Einstellung in der Benutzergruppe unter Windows XP Pro auf Debugging User springt. Damit kann ich nichts installieren. Bisher habe ich es immer noch geschafft wenigstens für kurze Zeit den user mit Adminrechte zu produzieren.  

    Was meinst Du mit "springen auf Debugging User"?

    Also was ist passiert mit den Usereinstellungen? Wie kann ich dem zur installation vorgesehenen User wieder fix Administratorrechte geben?

    Du kannst es vernünftig mit den GPPs regeln oder auch per GPO. Group Policy Preferences:
    http://www.gruppenrichtlinien.de/Bilder/gpp_06.png
    http://www.gruppenrichtlinien.de/Vista/GPP_Group_Policy_Preferences.htm
    Group Policy Objekt:
    http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 10. November 2010 17:27