Ich habe bei uns an der Schule folgende Situation. Ich habe ein Global Admin Konto. Neben mir gibt es noch 2 andere, die Das Netz betreuen. Eine Angestellte und ein Lehrer. Diesen beiden habe ich Schuladmin Konten eingerichtet. Jetzt ist es aber so, dass Die Kollegen keine Programme auf den Rechnern installieren können ohne das Passwort eines globalen Admins.
Ich dachte Schuladmins dürfen auch Programme installieren?!
Soll ich jetzt die beiden anderen zu globalen Admins machen, oder wie kann ich bewerkstelligen, dass die Schuladmins auch installieren dürfen?
Ich habe bei uns an der Schule folgende Situation. Ich habe ein Global
Admin Konto. Neben mir gibt es noch 2 andere, die Das Netz betreuen.
Eine Angestellte und ein Lehrer. Diesen beiden habe ich Schuladmin
Konten eingerichtet. Jetzt ist es aber so, dass Die Kollegen keine
Programme auf den Rechnern installieren können ohne das Passwort eines
globalen Admins.
Ich dachte Schuladmins dürfen auch Programme installieren?!
Soll ich jetzt die beiden anderen zu globalen Admins machen, oder wie
kann ich bewerkstelligen, dass die Schuladmins auch installieren dürfen?
ist den die AD Gruppe, in der die zwei Admins sind, am Windows Client in
der Gruppe der Administratoren?
An den Clients lokal sind neben den lokalen Sachen nur die Domain Admins mit drin. Da sind die Schul Admins aber nicht Mitglied von. Ich hab also wenn ich das richtig sehe 2 möglichkeiten: 1. Ich füge die Schul Admins den domain Admins hinzu und dann funktioniert’s sofort auf allen Kisten oder 2. Ich füge die Schul Admins zu den Administratoren auf nem client hinzu. Dann muss ich allerdings erst wieder von dem Client ein Image erstellen und überall verteilen, damit das funktioniert, oder?
wenn ich das richtig sehe 2 möglichkeiten: 1. Ich füge die Schul Admins
den domain Admins hinzu und dann funktioniert’s sofort auf allen Kisten
oder 2. Ich füge die Schul Admins zu den Administratoren auf nem client
hinzu. Dann muss ich allerdings erst wieder von dem Client ein Image
erstellen und überall verteilen, damit das funktioniert, oder?
so sehe ich das auch.
Natürlich klingt 1 einfacher … aber dann kannst du auch gleich den
global-admin nehmen: ein anderer Nutzer hätte ja dann vergleichbare Rechte.
Ich weiß nicht, wie die Schuladmins rechtlich ausgestattet werden sollen …
was du aus Sicherheitssicht stets vermeiden willst ist, die Gruppe der Domänen-Admins über den absolut minimal notwendigen Personenkreis hinaus zu erweitern. Was dir besser helfen könnte:
Man kann per Gruppenrichtlinie die Einstellung verteilen, dass eine AD-Benutzergruppe Mitglied in der Gruppe Administratoren auf dem lokalen Client-PC wird. Da Windows die Gruppenrichtlinie bei jedem Rechnerstart vom DC abruft und anwendet, muss für die Funktionalität kein Image erstellt werden.
