Hi Leutz,

Isch hätt da ein kleines Problemchen.

Ich hab hier nen 2003er Server der Domänencontroller und ADS ist. Nun möchte ich den Domänenbenutzern lokal (also auf den Workstations) via Gruppenrichtlinie Administrationsrechte vergeben.

Ich weiss das ich es auch händisch an den einzelnen Clients machen kann in dem ich die Domänenbenutzer der Gruppe der lokalen Administratoren hinzufüge aber das ist imho nur eine Notlösung.

Hat da wer ne Idee ?

Thx in Advance

L°°p

Die User der Gruppe "Administratoren" hinzufügen?

Es gibt ja noch die Domänen-Admins, das ist hier nicht das gleiche.
Bei Admins sollten sie nur lokale Admin-Rechte haben.

MFG

Idewix

Original geschrieben von Idewix
Die User der Gruppe "Administratoren" hinzufügen?

Es gibt ja noch die Domänen-Admins, das ist hier nicht das gleiche.
Bei Admins sollten sie nur lokale Admin-Rechte haben.

MFG

Idewix

Ehhhmmm .... ich hab ja auch nix von Domänen-Admins gesagt oder?
Ich versteh jetzt irgendwie den Sinn deines Posts nicht.

sry ;(

Hast du versucht eine OU anzulegen und die ensprechende Gruppe hinzuzufügen und dann auf die OU Gruppenrichtlinie zugeben?

Hab ich getestet ... entweder das geht net oder ich bin zu blöd die Gruppenrichtlinie zu definieren.

Ich hab grad noch diesen Artikel (http://www.mcpmag.com/columns/print.asp?EditorialsID=614) auf MCPmag.com gefunden der sieht recht vielversprechend aus. Werds mal antesten.

Thx so far

L°°p

Original geschrieben von L°°pb4ck
... Ich hab grad noch diesen Artikel (http://www.mcpmag.com/columns/print.asp?EditorialsID=614) auf MCPmag.com gefunden der sieht recht vielversprechend aus. Werds mal antesten.


Dafür bin ich auch zu blöd :banghead:

Ich werd jetzt umschulen auf Planierraupenketteneinöler vielleicht kann ich das :D

Du hast zwei Gruppen, Administratoren und Domänen Admins. Wenn du die User in die Gruppe der Administratoren packst, dann haben die lokale Administrator-Rechte.

:-)

L°°pb4ck

Muss man wohlSkripten, denn Du willst wohl, dass die jeweils nur auf einem Rechner Adminrechte haben oder? Dann musst es lokal eintragen und ned in die Domäne würd ich annehmen.
Per KIX müsste sowas recht einfach zu machen sein.

Original geschrieben von Alex31
Du hast zwei Gruppen, Administratoren und Domänen Admins. Wenn du die User in die Gruppe der Administratoren packst, dann haben die lokale Administrator-Rechte.

:-)

Jop und zwar auf dem Domänencontroller :freak:
Und das ist genau das was ich nicht will ;(

@ Haarmann: Prinzipiell wäre es egal wenn sie auf jedem Rechner an dem sie sich anmelden lokale Adminrechte hätten.
Scripting per KIX sagt mir leider garnichts hab ich da was verpasst?

Original geschrieben von L°°pb4ck
Scripting per KIX sagt mir leider garnichts hab ich da was verpasst?

Nein, hast Du nicht.

Evtl. kannst du per
net localgroup Administrators %username% /add
im Startskript was ausrichten.
Eventuell brauchst du aber dafür Adminrechte, die müsstest du dir (bei W2k+) per "runas" noch zuschneidern.

Gruß

afaik läuft doch das startscript als systemuser, somit sollte das so funktionieren, ganz sicher bin ich mir aber auch net

Nein Funktioniert (leider) nicht ;(

Nur aus reinem Interesse:

Wieso sollten denn die Benutzer Admin-Rechte haben? Das ist so ziemlich das letzte, was ich einem Benutzer geben würde...

Wenn du die in die Gruppe der Administratoren setzt sind die User Lokale Administratoren. Keine Domänen Admins. Was willst du da mit GPOs arbeiten?

ja das muß er aber auf jedem Client für jeden User einzeln machen und das ist aufwendig , vorallem wenn die User auch noch öfters die PC's wechseln

Wofür denn? Das ist eine Domäne, da werden die Rechte von Domänen Server verteilt. Da brauchste nichts am PC zu schrauben.

so das hat lange an mir genagt...nenne mich Systemadministrator und konnte das nicht auswendig. Hab mir jetzt mal eine Test-AD-Domäne eingerichtet und ausprobiert. Man kann (wie auch in der Anleitung beschrieben) über GPOs die Domänen Benutzer zu LOKALEN Admins machen OHNE die LOKALEN GRUPPEN zu bearbeiten.

Das Wissen wie man eine OU einrichtet, dort den Rechner hineinsteckt und der OU eine Gruppenrichtlinie zuordnet setze ich jetzt voraus.
Mit dem Eintrag EINGESCHRÄNKTE GRUPPEN werden die LOKALEN Gruppenzugehörigkeiten des oder der Rechner die in der OU stecken ÜBERSCHRIEBEN. Mit Rechstklick "Gruppe hinzufügen" auswählen. Dann "Administratoren" tippen. Dies ist die LOKALE Gruppe der Administratoren der/des Rechners. Unter "Mitglieder dieser Gruppe" kommen jetzt die Domänen-Benutzer Gruppe die lokale Admins sein sollen (am besten eine eigene Domänen-Gruppe dafür erstellen) und natürlich die Domänen-Admins ansonsten sind sie NICHT mehr lokale Admins.
Dann auf dem DC gpupdate ausführen und evtl. Client neu booten (oder einfach länger warten) und fertig.

LöL! Hat geklappt ... ich war wohl etwas zu ungeduldig und hab den Client nicht rebooten lassen.

Danke an alle die Hier geholfen haben ;D

was hast'n nun genau gemacht ?

- Neue OU erstellt
- Alle Computer in die neue OU verschoben
- GroupPolicy der OU bearbeitet wie in diesem HowTo (http://www.mcpmag.com/columns/print.asp?EditorialsID=614) beschrieben nur hab ich "Interaktiv" weggelassen
- "gpupdate" am ADS/DC ausgeführt.
- Client Reboot
- Kaffee trinken gegangen
- am Client angemeldet
- versucht am Client TCP/IP zu deininstallieren -> geht
- Hurra geschrien und Microsoft verflucht (linux is ja soooooo einfach ;))
- Nochmal Kaffee getrunken und Zigarette geraucht

:D

he aber versuch mal sowas wie GPOs auf Linux...gibts sowas ?

Also ein Samba-Server kann als PDC fungieren ... wie das dann genau mit den Gruppenrichtlinien läuft weis ich nicht aber mit PAM oder ähnlichem müsste man da was machen können. Der ADS hier war mein erster Versuch in Richtung Windows Server/Gruppenrichtlinien. Ich arbeite vorwiegend mit Linux und Novell.

Samba in der neuesten Version (3 ?) sollte einen AD Server ersetzen können, wurde aber doch nicht implementiert, bleibt bei einer Windows NT Domäne....Reverse ingeneering ist doch nicht ganz einfach :-(

Auf der anderen Seite habe ich persönlich Probleme damit, eine Umgebung die auf Windows basiert und die spezielle Windows-Dienste (nicht generell Verzeichnisserver oder File-/Print-Server ) benötigt, auf einem Nicht Windows Server System abzubilden, sehe bis auf Lizenzkosten keinen Sinn, was natürlich auch nicht unerheblich sein kann.

Wenn man andere Verzeichnis-Dienste oder Authentifizierung-Dienste verwendet ist es klar, dass man andere BS dafür nimmt (oder nehmen kann) aber AD ist doch SEHR Windows / Microsoft spezifisch. Aber es gibt auch Leute die grundsätzlich NICHTS von M$ nehmen, wenn es sich verhindern lässt, ich zähl mich aber nicht dazu.

Original geschrieben von jorge42
Aber es gibt auch Leute die grundsätzlich NICHTS von M$ nehmen, wenn es sich verhindern lässt, ich zähl mich aber nicht dazu.

Ich mich eigentlich schon :D Aber ich würde das fast als reine Geschmackssache abtun.
Schenken tun sich beide Systeme imho fast nichts. Den hohen Lizenzkosten auf seiten des Windows-Server steht der doch nicht unerhebliche administrative Aufwand bei Linux basierten Diensten gegenüber.