ComputerBase Menü
Aktuelles

Domänennutzer teilweise Befugnisse von Domänen-Admins gewähren

S

speedcOre

Lt. Junior Grade
Registriert
Sep. 2004
Beiträge
387
Hallo allerseits,

ich habe eine kurze Frage. Ein Domänen-User (DCs laufen auf 2008R2 und 2012R2) soll folgende Befugnisse erlangen:

--> Clients in Domäne aufnehmen

--> lokale Administratorberechtigungen auf den Clients haben, um Programme zu installieren, Benutzerrechte zu verwalten etc. pp

NICHT aber soll er per Remote-Desktop auf die DCs zugreifen können etc. pp.

Wie kann man dies realisieren? Natürlich könnte ich den User in die Builtin-Gruppe "Administratoren" packen, hätte ihm dann aber zu viele Befugnisse verliehen. Wie kann ich dies am besten umsetzen? Gibt es für diese Art der "begrenzten Befugnisse" auch eine Builtin-Gruppe?

Über Eure Hilfe würde ich mich sehr freuen.

Beste Grüße!
 
Für die Sachen mit den Clients in die Domäne aufnehmen:

Am einfachsten per GPO:

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/Zuweisen von Benutzerrechten -> Hinzufügen von Arbeitsstationen zur Domäne

Falls die neuen Computerkonten noch nicht im AD angelegt wurden muss zusätzlich folgendes konfiguriert werden:

Verwaltung-->Sicherheitsrichtlinie für Domäne-->Lokale Richtlinien-->Zuweisen von Benutzerrechten-->Anmelden als Stapelverarbeitungsauftrag
 
Hi,

vielen Dank für die schnelle Antwort.

Ich muss gestehen, ich kann nicht ganz folgen. Wohl bin ich einigermaßen fit im GPO-Bereich und kenne die von Dir beschriebenen Menüs. Aber mir ist der Bezug zu meiner Fragestellung noch nicht klar. Kann ich dort nicht lediglich einstellen, welcher (Domänen-)Nutzer welche Befugnisse auf den Domänen-Clients hat? Das hilft mir beim Hinzufügen in die Domäne ja nicht unbedingt weiter. Kann aber auch gut sein, dass ich gerade einfach auf dem Schlauch stehe - ist ja schon spät. ;-)

Wenn ansonsten jemand ausgehend von der ursprünglichen Fragestellung weiter weiß - ob es eine Builtin-Gruppe dafür gibt oder erstellt werden kann, gerne einfach hier rein hauen.
Bezüglich des Hinzufügens in die Domäne: Darauf kann im Notfall auch verzichtet werden bzw. dafür hatte der Kollege rennstrecke ja schon einen Denkanstoß gegeben. Cool wäre, wenn mir jemand sagen könnte, wie ich lokale Adminrechte für jeden Domänen-PC auf einen Domänen-User delegieren kann.

Beste Grüße
 
Grundsätzlich darf jeder Domänenbenutzer Clients in die Domäne aufnehmen (10 Stück an der Zahl). Man kann das natürlich unterbinden, der Standard erlaubt es hingegen.
 
- Eine AD-Gruppe erstellen,
- die Admins dort reinpacken,
- per GPO -> Restricted Groups die AD-Gruppe in die lokale Admingruppe packen,
- dieses GPO den ensprechenden Rechnern zuweisen

Für diese Admingruppe kannst du eine Delegation erstellen, die dieser Gruppe die entsprechenden Rechte zuweist. Da ich Deine Kenntnisse nicht kenne, habe ich es erstmal grob beschrieben.
 
Hallo,

vielen Dank für Euer Feedback!

Punkt 1 hat sich ja bereits geklärt. Danke crashbandicot.

Bezüglich Punkt 2 scheint mir Frighteners Antwort das ganze abzudecken. Die ist mir auch weitgehend klar - Gruppe ist erstellt, und wie ich GPOs erstelle und verknüpfe ist mir ebenfalls klar. Was ich bisher nicht gefunden habe ist die Stelle, an der ich die Sicherheitsgruppe in die Gruppe der lokalen Administratoren hinzufügen kann.

Wo findet sich das genau?

Besten Dank schon einmal bis hierhin!
 
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups

Group: Domain\Admingruppe
Member of: Builtin\administrators
 
Hi,

danke. Aber damit packe ich die erstellte Gruppe ja lediglich in die Gruppe der Domänen-Administratoren, nicht in die der lokalen Administratoren, oder?

Wenn ich unter dem Feld "Füge die Nutzer der Gruppe XYZ folgender Gruppe hinzu:" nun nach Administratoren suche, schlägt er mir natürlich die Domänen-Administratoren vor.
Wenn ich dann den zu durchsuchenden Pfad ändere und zu den Domänen-Computern navigiere, kann ich dort nicht nach Administratoren oder Builtin\Administratoren suchen.

LG
 
Schreibe in das Feld BUILTIN\Administrators oder VORDEFINIERT\Administratoren - je nach Sprache.

Ich mache das nie direkt auf dem DC, sondern über RSAT vom Client. Dort habe ich die Möglichkeit, den lokalen Client anzugeben. Das wird dann ins allgemeine VORDEFINIERT\... bzw. BUILTIN\... umgewandelt.
 
Unter welchem Suchpfad?

Wenn ich in der Domäne suche, kann ich weder unter Vordefiniert\Administratoren noch unter Builtin\Administratoren etwas finden. Gebe ich lediglich "Administratoren" ein (Suchpfad = Domäne), findet er die Gruppe. Das dürfte dann aber die Gruppe der Domänen-Administratoren sein, richtig?
In diese sollten die Nutzer ja eben nicht rein, da dies den Nutzern/der Gruppe RDP-Zugriff auf die DCs ermöglichen würde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
DC 2012R2 repliziert sich nicht korrekt mit den anderen DCs - VPN als Ursache?
Antworten
12
Aufrufe
1.919
speedcOre
S
MasterBlaster_
Domänenbenutzer können Freigaben nicht öffnen
2
Antworten
27
Aufrufe
6.564
MasterBlaster_
MasterBlaster_
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz