Mich würde mal interessiern, wie ihr das handhabt.

Bei uns in unserem Unternehmen wird von meinen Vorgesetzten es so gehandhabt:

User X ist als Domänenbenutzer angelegt (Domänen-User).

per lusrmgr.msc wird auf dem Computer die Gruppe Administratoren geöffnet und in diese Gruppe der bestimmte User X gesetzt, der lokale Admin-Rechte haben soll.

Hat dieser Weg Nachteile? Gibt es bessere Möglichkeiten?

Vielleicht ohne den Weg über lusgrmr.msc?

Mich würde mal interessiern, wie ihr das handhabt.

Bei uns in unserem Unternehmen wird von meinen Vorgesetzten es so gehandhabt:

User X ist als Domänenbenutzer angelegt (Domänen-User).

per lusrmgr.msc wird auf dem Computer die Gruppe Administratoren geöffnet und in diese Gruppe der bestimmte User X gesetzt, der lokale Admin-Rechte haben soll.

Hat dieser Weg Nachteile? Gibt es bessere Möglichkeiten?

Vielleicht ohne den Weg über lusgrmr.msc?

Dein Weg wird sehr oft praktiziert.
Anderer Weg: http://www.mcseboard.de/windows-forum-ms-backoffice-31/eingeschraenkte-gruppen-lokaler-administrator-62660.html

Gruß,
QFT

mir viel ein.

ich könnte in der AD ne security group anlegen "lokale benutzer"

die AD user der gruppe zuordnen.

per lusrmgr.msc an den PCs die gruppe "lokale benutzer" zu den administratoren stecken.

damit käm ich von der problematik weg, leute einzeln wo reinzustecken.

würds gehen?

Klar,

aber du müsstest noch immer Hand anlegen.

ich arbeite wenn möglich nicht mit eingeschränkten gruppen. d.H. nicht, dass ich sie nicht verwende, aber wenn man nicht aufpasst, hat man ein echtes problem. Eingeschränkte gruppen über die gpos ÜBERSCHREIBEN die lokalen Gruppen. Wenn ich also über gpo die lokale Administratorengruppe überschreibe und vergesse was einzutragen, dann habe ich plötzlich GAR KEINEN Admin, auch nicht der dom-admin.
Also nie vergessen dort den lokalen Administrator und die Dom-Admins zusätzlich reinzutun. und niemals auf die Domänen Policy eintragen. Kann dann schnell passieren, dass die Dom-Admins weg sind und du darfst die Domäne neu aufsetzen.

Ich regel das bei uns so, dass ich für PCs, wo ich Domänen User als lokale Admins einrichten muss, eine Globale Gruppe z.B. PC1_Admins in die lokale Administratoren-Gruppe stecke und den User in die Globale Gruppe. Man könnte den User auch direkt reinstellen, aber so muss der PC nicht an sein, weil ich dann nie mehr in die lokale SAM muss.

EDIT: Von Hand ist das natürlich auch machbar.
EDIT2: Shit, ich tipp zu langsam:biggrin: