JARVIS
System ist ein Small Business Server 2011 auf dem ein Benutzer für adminsitrative Zwecke auf den Clients eingerichtet werden soll. Dieser Weg ist im Grunde eher für kleinere Büros gedacht, da der nachfolgende Weg bei größeren Netzwerken wohl eher zuviel Aufwand bedeuten würde In diesem Fall sind es 6 Windows 7 Clients. Die Anforderung ist einen lokalen Administrator zu haben der für Installationen von Updates von z.B. Firefox genutzt werden kann. Auch sollte schnell ein Scanner oder ähnliches lokal angeschlossen werden können.
Dieser Weg ist voll über die Konsole des SBS 2011 möglich und ähnelt dem der Erstellung eines neuen Benutzers. Der Vorteil dieses Weges im Gegensatz zur Nutzung eines lokalen Adminstrators auf dem Client, ist die zentrale Verwaltung des Users. So kann das Passwort zentral geändert und der User ggf. auch gesperrt werden. Der Nachteil, steht das Active Directory nicht zur Verfügung, wird der User auch nicht lokal funktionieren. Los gehts:
1. die Verwaltungskonsole starten und Benutzer und Gruppen anklicken
2. rechts unter Tasks ein „Neues Benutzerkonto hinzufügen“ anklicken
3. hier den Namen z.B. „lokalerClientAdmin“ vergeben
4. natürlich noch ein sicheres Passwort vergeben – Empfehlung sind min 12 Zeichen aus Groß- und Kleinbuchstaben mit Zahlen und Sonderzeichen 😉
5. Erstellung mit dem Klick auf „Erstellen“ abschließen, sodass nun der SBS für uns den gesamten Rest durchführt
6. an dieser Stelle passiert das entscheidende, die Zuweisung des „lokalenClientAdmin“ zu den Clients
7. Hier die Zugriffseben für den lokalenClientAdmin für jeden Client auf „Lokaler Adminstrator“ einstellen
8. als nächstes ändere ich noch ein paar Einstellungen des Benutzerkontos – dieses soll ja nur für die Installation und Wartung am Client verwendet werden- hierfür unter Tasks von Benutzer und Gruppen auf „Eigenschaften des Benutzerkontos bearbeiten“ klicken
9. unter Remotezugriff deaktiviere ich alle Optionen wie „Der Benutzer kann auf Remotewebzugriff zugreifen“
10. Abschließend deaktiviere ich noch alle Optionen unter Websites: „Interne Website“ und „Outlook Web-Access“
Das war es. Nach dem nächsten Neustart der Clients oder nach einem gpupdate /force oder der nächsten routinemäßigen Anwendung der Policies, ist der „loakleClientAdmin“ einsetzbar. Noch kurz zum Fall, dass wesentlich mehr Clients im Netzwerk sind. Hier muss, soweit ich weiß, direkt über den Gruppenrichtlinieneditor gegangen werden. Es wird eine entsprechende Sicherheitsgruppe angelegt, die dann in den Richtlinen der OU der Clients angewendet wird. In dieser wird diese Gruppe der Gruppe der lokalen Administratoren hinzugefügt. Danach kann jeder Domainuser dieser Gruppe hinzugefügt werden, sodass dieser lokale Adminrechte erhält. Ob Sinn oder Unsinn dieser gesamten Aktion entscheidet jeder von Fall zu Fall und im Einzelfall selber 😉
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.
Hallo,
ich kenne diese Funktion nur vom SBS und habe mich nun eingelesen, dass man eine ähnliche Funktionalität auch mit GPOs auf einem „großen“ Server erreichen kann, wie hier im letzten Absatz angedeutet. Weist Du zufällig, wie der SBS die Vergabe von lokalen Admin-Rechten technisch umsetzt? Da die Einstellungen wohl nach dem Aktualisieren der GPO greifen, wird es irgendwie mit den Gruppenrichtlinien zusammenhängen. Ich habe nur nicht herausgefunden, welche Richtlinie das genau bewirkt.
Schöne Grüße
Dave :o)
Hi Dave84620,
schön das der Artikel gefällt. So ganz verstehe ich deine Frage nicht, aber ich versuchs mal, soweit ich da noch im Thema bin :). Die Konsole im SBS ist eigentlich nichts anderes als der GPO-Editor (z.T. auch in der Registry). D.h. alles was dort an Einstellungen, also Rechtetechnisch etc., gemacht wird, wird im Hintergrund als GPO umgesetzt. Ich habe jetzt keinen zur Hand, aber wenn du mal die Einstellungen vornimmst, dann kannst du mit dem GPO-Editor sehen, dass sie dort in den GPOs entspr. umgestzt werden. Also kannst du das so auch mit einem Server 2012 oder 2016 umsetzen. Die Konsole im SBS soll eigentlich diese Dinge vereinfachen und leichter für nicht so versierte Admins machen. Die Policy wird dann beim nächsten Neustart angewand, nach max 90min oder bei einem händischen „gpupdate / force“, in der Regel.
Genau das würde mich auch interessieren
Hi Stephan,
das Thema ist schon etwas her und ich versuche mich mal zu erinnern, bzw. kann grade selbst dies nicht testen, aber es sollte in etwa so funktionieren: neue Security Group z.B. LocalAdmins erstellen, nun den/die Benutzer die lokale Adminrechte erhalten sollen als Member hinzufügen, dann eine neue GPO erstellen z.B. LocalADminGPO, diese nun editieren und unter Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups die neue Gruppe LocalADmins hinzufügen, unter Group Membership auf Add klicken und die Administrators Group und z.B. Remote Desktop Users hinzufügen, nun diese neue GPO noch sinnvoll z.B. mit der Domain verlinken. Das müsste es sein. Schreibe das mal auf mein ToDo und arbeite es gerne mal in einem Artikel auf :).