Mehrere Administratoren und Windows Images

fkretzschmar · 17. Juni 2020 um 12:17

Hallo zusammen,

wir möchten gerne mehrere Administratoren-Benutzer nutzen, um Images zu erstellen (verschiedene Personen sind für unterschiedliche Rechnergruppen verantwortlich). Bei den Windows-Images soll laut Anleitung der Vorlagebenutzer global-admin verwendet werden. Kann auch ohne Probleme ein anderer Netzwerk-Administrator als Vorlagebenutzer verwendet werden?

Viele Grüße/Danke
Fabian

baumhof · 17. Juni 2020 um 20:06

Hallo Fabian,

wir möchten gerne mehrere Administratoren-Benutzer nutzen, um Images zu
erstellen (verschiedene Personen sind für unterschiedliche
Rechnergruppen verantwortlich). Bei den Windows-Images soll laut
Anleitung der Vorlagebenutzer /global-admin/ verwendet werden. Kann auch
ohne Probleme ein anderer Netzwerk-Administrator als Vorlagebenutzer
verwendet werden?

ja: allerdings sollte er ein Domänennutzer sein, und du mußt ihn auf dem
Server erst anlegen.
Das geht einfach … aber ich hab die Mail nicht gefunden, in der das
steht: ich schreib dem Entwickler

Ich hab das so verstanden:
in HWK 1 ist Peter der Admin und erstellt die Images für den Raum mit
dem admin: peteradmin
In der HWK 2 ist Gesine der Admin.
Sie erstellt Images mit dem Vorlagenbenutzer gesineadmin

Die Frage ist: keiner von beiden soll den gloabl-admin kennen, oder?
Also können sie keien HWK managen und auch keine Images. Sie kennen
beide aber das Passwort des linbo Benutzers: können also neue Images
erstellen.

Viele Grüße

Holger

fkretzschmar · 17. Juni 2020 um 21:08

Ja; genau so ist das gemeint; das Passwort des linbo-Benutzers können wir ja ändern, also ist der Image-Upload kein Problem (und das reicht ja normalerweise - für alles andere müssen sie notfalls Bescheid geben).
Es geht wirklich um den Domänennutzer, der gleichzeitiger Vorlagebenutzer für eine Hardwareklasse sein kann.

Da der global-admin (und sein Passwort) an vielen anderen Stellen genutzt wird, möchte ich nicht, dass das „die Runde“ macht.

jeffbeck · 18. Juni 2020 um 09:11

Hallo, wir Entwickler besprechen das.

LG, Rüdiger

Till · 22. Juni 2020 um 05:37

Was ist denn hier mit Vorlagenbenutzer gemeint? Ich nehme an, ihr verwendet den global-admin um mittels defprof dessen Profil als Standardprofil zu verwenden?
Hierfür kann jeder Nutzer verwendet werden.
Falls es allderdings darum geht, dass nur bestimme Nutzer die HW Klasse aktualisieren dürfen bzw. diese Verwalten, dann ist das gegenwärtig nicht trennbar.

fkretzschmar · 22. Juni 2020 um 05:43

Hallo Till,

genau um dieses Standardprofil ging es; in der Doku wird der global-admin genutzt und ich dachte, dass das einen speziellen Grund hat.
Das Passwort vom global-admin ist ja zusätzlich noch identisch mit root, dem ldap-Admin, …; daher wollten wir noch Admins anlegen, die nur Images verwalten und aktualisieren können (und HW-Klassen).

VG
Fabian

Till · 22. Juni 2020 um 05:50

In dem Fall habt ihr klar mehrere Möglichleiten:

Lokale Admins anlegen
Extra Lehreraccounts anlegen und hierfür missbrauchen (evaluierung der Rechte über lokalen Admin)
Weitere Schuladmins anlegen (können wieder global verwendet werden, aber weniger Rechte als Global admin --> Allerdings auch noch nicht 100% sauber getrennt)
weitere Global-Admins anlegen mit anderem Passwort

Meine Empfehlung die nicht jeder teilen mag wäre aber auf Defprof generell zu Verzichten. Das Verfahren ist schön einfach, das stimmt. Allerdings bläht es das Standardprofil total auf so dass die Anmeldung im System unfassbar lange dauert.
Ich würde empfehlen die Vorlagen per GPOs und Registry Schlüssel zu bestimmen anstatt das Standardprofil umzubauen.

fkretzschmar · 29. Juni 2020 um 14:45

Hallo Till,
das klingt sinnvoll; wir versuchen das Standardprofil auch unter Linux möglichst klein zu halten. Eigentlich habe ich seit XP nicht mehr mit Windows gearbeitet.
Ich brauche halt ein Verfahren, das auch für meine beiden Fachbereichsadmins geeignet ist (sie/wir benutzen GPOs; aber lokal, auf den Geräten).

Bezogen auf deinen Vorschlag (Vorlagen per GPOs und Registry Schlüssel):

GPOs lokal oder im Samba-AD (soll ja klappen)?
Wo kann ich dazu was lesen? Ich habe nur https://lehrerfortbildung-bw.de/st_digital/netz/muster/windows/archiv/tipps/gpo/gpo_fortgeschrittene.pdf gefunden
Wie würde man beispielsweise LibreOffice für alle Benutzer einrichten (Begrüßungsdiagloge wegklicken; Extensions installieren)

Danke und Beste Grüße
Fabian

Till · 30. Juni 2020 um 05:57

Auf der Samba AD.

Für Libreoffice gibt es wie für viele andere Tools ADMX Pakete die die GPO erweitern.

Du kannst aber auch mal suchen welche Registry Schlüssel das sind und diese per GPO setzen lassen (etwas anderes machen die GPOs auch nicht).

Wo genau man das jetzt nachliest kann nicht sagen, wir sind ja unter anderem auch Dienstleister und setzen GPOs schon seit über 15 Jahren ein.

fkretzschmar · 2. Juli 2020 um 05:12

Danke Till - die wichtigen Begriffe waren drin („ADMX“ und „reg key via GPO“); damit konnte ich mir einen Überblick verschaffen.
Nach Besprechung mit den beiden Bereich-Admins hat sich ergeben, dass sie einen Vorlagebenutzer nutzen werden. Die Idee, alles über GPO zu machen, habe ich gespeichert, falls ich doch mal irgendwann Windows-Kisten verwalten muss.

VG
Fabian