Rechte zuweissen und mehr

Tappi · 9. Februar 2007

Hallo,

ich bin grade ganz neu dabei in Sachen Active Directory. Ich soll dies für das unternehmen aufbauen wo ich arbeite. Die Installation ist soweit ganz einfach und habe dies auch schon geschafft. Nun habe ich schon ein paar unserer Rechner der Domain hinzugefügt und die Benutzer dies bezüglich angelegt. War auch alles soweit ganz einfach. Nun komm ich jedoch an denn Punkt wo ich nicht mehr weiter weiss.

Ich habe mehrere Benutzer und mehrer Administratoren. Die Administratoren habe ich schon in die Gruppe für die Administratoren hinzugefügt und die Benutzer den Benutzern.

Nun will ich die rechte so verteilen, das:

1. Die Administratoren volle Rechte auf allen Servern + Rechnern haben

2. Die Benutzer sollen ,,standart" Rechte haben, sprich Anwendungen starten, Zugriff aufs Internet und natürlich dinge auf der Festplatte abspeichern. Dazu kommt noch, das es denn Benutzern nicht erlaubt sein soll auf Spezielle Server zu zugreifen, aber eine Netzlaufwerk Verbindung zu einem speziellen Server herstellen können.

Natürlich soll jeder Admin und auch Benutzer wenn diese sich auf einen anderen oder ihren Rechner einloggen Zugriff auf den Drucker haben ohne noch die Treiber extra installieren zu müssen.

Ich hoffe mir kann hier bei einer helfen. Hab nun schon alles durch geguckt was ich so gefunden habe aber ohne erfolg

Schon einmal vielen dank und viel Grüsse
Tappi

Jürgen · 9. Februar 2007

Hallo,

das kannst Du am besten über sogenannte Gruppenrichtlinien lösen.

In AD Benutzer und Computer dann rechtsklick auf den Container Domänenkontroller > Eigenschaften > Gruppenrichtlinie > Bearbeiten > Computerkonfiguration > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten
hier kannst Du u.a. festlegen wer sich am Server anloggen darf.

Lokal anmelden zulassen: z.b. die Gruppe der Admins
Lokal anmelden verweitern: z.b. die Gruppe der User.

In AD Benutzer und Computer kannst Du dann das gleiche für den Ordner Computers machen...

Hier hast Du die Möglichkeit die Berechtigungen zu steuern.

Aber das ganze ist natürlich mit Vorsicht zu geniessen. Wenn Du die Admins irgendwo aussperrst und die Richtlinie nicht mehr abändern kannst, dann hast Du verloren... Aber auf diesem Weg werden solche restriktionen gesteuert.

Tappi · 9. Februar 2007

Schon einmal vielen dank für diene schnelle antwort, werde es direkt mal ausprobieren

Jürgen · 9. Februar 2007

Viel Spass damit.

Aber überlege genau was Du machst.

backdoor · 9. Februar 2007

Hi

Handelt es sich bei den Admins um lokale oder um Domänen Admins?
Dom-Admins sollten sich überall anmelden können.

Per Default einstellungen ahben die "normalen" User die Rechte die du haben möchtest (Punkt 2)

Wenn Du mit server gespeicherten Profilen Arbeitest, können Sich die User an jedem Rechner anmelden und haben das gleiche Profil.
Wenn Du Netzwerkdrucker im Einsatz hast können die User auch von jeder Arbeitsstation drucken.

Bei weiteren Fragen, fragen

Tappi · 9. Februar 2007

Ich versuchs mal etwas besser zu erklären

Also ein kleines beispiel:

Wir sind 5 Leute. 2 Chefs, ein Auszubildender (ich ^^), ein Produkt Manager und ein Normaler angestellter.

Meine Chefs und ich sollen volle Zugangsrechte auf alles habe. Warum ich? Ganz einfach ich bin der Administrator und richte alles ein und verwalte dies dann auch noch.
Der Punkt ist denk ich mir mal klar.

Der Mitarbeiter:
Dieser braucht nur die Rechte um mit SAP Logon sich von seinem (oder halt einem anderen) Rechner sich auf den SAP Server in das SAP System einzuloggen und eine netzlaufwerk verbindung zu einer Festplatte auf einem unserer Server her zustellen, weil wir dort einige Daten ablegen können.
Dazu kommt aber noch, das er auf seinem Laptop voll Rechte haben soll, aber halt nur auf seinen und nicht z.B. auf meinem.
Ich hoffe dieser Punkt ist auch klar.

Nun kommen wir zum Produkt Manager.
Dieser soll sich über ein Programm auf einem unsere Server ein Logen können und dazu eine Remoteverbindung NUR zu diesem Server herstellen können.
Dazu kommt halt noch das er wie der normale Mitarbeiter auf denn sogenannten Datapool zugreifen kann.

Meine Probleme sind halt, wen ich es jetzt nicht so eingestellt bekomme, die Rechte nun so zu verteilen, das der Mitarbeiter und der Produkt manager nur auf ihren Rechner volle rechte habe und das die beiden einen allround Zugang zum Datapool bekommen. Dazu halt noch das sie mit den jeweiligen Programmen eine verbindung zum SAP system und dem Anderen system (halt wie gesagt Mitarbeiter zum SAP System und PM zum anderen) herstellen können.

So, das war hoffentlch was verständlicher und ihr könnt nun so halbwegs meine Problem zone erkennen.

Vielen Dank und viele Grüsse
Tappi

Jürgen · 10. Februar 2007

Hallo,

aus Sicherheitsgründen, würde ich vorschlagen, dass Du und deine Chefs über folgendes nachdenken.

Jeder von euch dreien soll ein seperates Adminkonto erhalten und eine "normales" Benutzerkonto mit dem ihr dann eure täglichen Arbeiten verrichtet.

Dies hat den Vorteil, dass keine versehentlichen Änderungen am System vorgenommen werden können und zum zweiten wenn z.b. ein Virus, Trojaner etc. ankommen sollte, der nicht installiert werden kann.

Dies geht dann erst wenn ihr mit dem Adminkonto angemeldet seid.

Tappi · 13. Februar 2007

oh man.. ich blick langsam nicht mehr durch
hab nun einige Dinge eingestellt, jedoch stellt sich nun heraus, das ich diese für die Administratoren eingestellt habe, nicht für die Benutzer Dazu habe ich bisher nur den ,,Ort" gefunden wo ich die Regeln für den Server wo die AD drauf installiert ist einstellen kann, aber nicht den, wo ich die Rechte der Normalen Benutzer und Co einstellen kann.
Ich bin echt zu blöd dafür

backdoor · 13. Februar 2007

Hallo,

also, Du kannst doch dir und deinen Chefs Adminrechte geben (Im AD auf den User > RMT > Eigenschaften > Mitgied von > DomänenAdmin

Damit habt Ihr schon mal alles was Ihr wollt (zumindest 90%)
Die User brauchen keine weiteren Rechte, ich denke die haben per Default das recht auf der Festplatte eines Client zu speichern

Die Verknüpfung zu einem Netzlaufwerk kannst Du per Startscript in den GPO's einstellen
Erstelle ein GPO > Benutzer-Einstellung > Windows-Einstellungen > Scripts > Anmelden

Dort erstellst Du eine Batchdatei "Net use......" (google mach nach der genauen Syntax)

Damit bekommen die User ein Netzlaufwerk (Muss natürlich freigegeben sein

Wenn wirklich einer auf seinem Laptop Adminrechte braucht (würde ich nicht machen) kannst Du ihm lokale Adminrechte geben. Unter der Benutzerkonten in der Systemsteuerung kannst Du den User hinzufügen.

So versuch dies erstmal

Weiter Info's bezüglich Gruppenrichtlinien findest Du hier http://www.Gruppenrichtlinien.de

Tappi · 14. Februar 2007

Guten Morgen

Danke für deine Schnelle Antwort.

Das mit den Administratoren hatte ich schon soweit hin bekommen. Jedoch habe ich halt Probleme mit den Benutzer Rechten, bzw finde einfach nicht die Stelle wo ich es genau bearbeiten kann.

Die normalen Benutzer haben leider schon zu viele Rechte, da die Leute bei uns nichts installieren dürfen, nichts auf die Windows Partition schreiben dürfen und soweit auch nichts an Einstellungen vor nehmen dürfen, was Windows angeht. Die Benutzer haben halt ihre eigene kleine Partition auf D:\ wo sie die Dateien mit denen die Arbeiten abspeichern können.
Das war es auch schon mehr dürfen die nicht.

Und nun suche ich halt genau den Ort wo ich dies einstellen kann *g

Habe schon da geschaut wo mir Jörg (ich hoffe ich vertue mich grade nicht mit dem Namen wen ja Sorry) den Pfad aufgeschrieben hat und habe dort Paar Richtlinien usw. geändert jedoch hatte dies hinterher keine Auswirkungen auf den Normalen Benutzer wen ich mich an einem anderen Rechner in diese Domain einwähle.

Ich glaub es wird Zeit das ich eine Schulung besuche *g

Viele Grüsse und vielen Dank
Tappi

Teilen