locked
Initiale Registrierung für Konten mit lokalen Administratorenrechten? RRS feed

  • Frage

  • Guten Abend

    Ich habe eine Windows 2008-Domäne und Windows 7 Enterprise Systeme.

    Die User arbeiten mit einem normalen Account ohne lokale Administratorenrechte. Spezielle User, welche erhöhte Rechte benötigen, erhalten einen "Spezialaccount". Auf der Workstation wird eine Gruppe in der lokalen Administratorengruppe erstellt und "Spezialaccount" hinzugefügt.

    Ich bin nun davon ausgegangen, dass der User, wenn das Feld für die Benutzerkontensteuerung auftaucht, sich einfach mit dem "Spezialaccount" authentifzieren  und danach die erhöhten Rechte (beispielsweise für die Computerverwaltung) verwenden kann. Leider klappt das nicht auf anhieb. Wenn er sich mit dem neu erhaltenen "Spezialaccount" bei der Benutzerkontensteuerung einloggen will, erscheint hartnäckig die Meldung:

    "Der angeforderte Vorgang erfordert erhöhte Rechte."

    Als erstes dachte ich an die AD-Replikationszeit, aber auch nach mehreren Tage funktionierte es nicht. Nach ein paar Tagen und diversen Tests habe ich die Lösung herausgefunden: Jeder User muss einfach einmal das CMD und einen altmodischen RUNAS-Befehl mit den Credentials des "Spezialaccounts" ausführen. Danach funktionierte auch die Authentifizierung mit der Benutzerkontensteuerung!

    Kann mir das jemand von euch erklären? Ist das normal, dass jeder User initial mit dem Administratorenaccount auf diese oder eine andere Weise an einem System anmelden/registrieren muss, bevor er die Benutzerkontensteuerung verwenden kann? Ich will das eigentlich nicht bei jedem User machen, wenn es eine andere Lösung gibt.

    Herzlichen Dank im Voraus für eure Antworten

    Thomas

    Mittwoch, 20. Juni 2012 21:24

Antworten

  • Hallo Thomas.
     
    Nur eine Vermutung - aber ich finde sie plausibel ;-)
     
    Jedes Konto, das sich anmelden will, benötigt auch ein Profil. Und wenn
    es nur die ntuser.dat und ein paar Special Folders sind - ein Profil ist
    erforderlich. Ich kann mir gut vorstellen, daß bei aktivierter UAC eine
    elevated Anmeldung zwangsweise auf ein bereits vorhandenes Profil
    angewiesen ist und daher fehlschlägt, wenn keins existiert.
     
    In dem Fall würde es reichen, wenn sich der User einmal mit seinem
    Special Account anmeldet (ob jetzt über runas oder interaktiv ist vmtl.
    egal).
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 21. Juni 2012 17:06

Alle Antworten