2003 Problem mit Sicherheitsrichtlinien am lokalen PC
- Ersteller andr_gin
- Erstellt am
andr_gin
Grand Admiral Special
- Mitglied seit
- 12.06.2003
- Beiträge
- 3.052
- Renomée
- 24
- Standort
- St. Pölten (60km westlich von Wien)
Ich arbeite seit Dienstag in einer Firma mit ca. 15-20 PCs als Admin. Jetzt habe ich das Problem, dass ich auf meinem neuen PC (XP Professionell) keine wirklichen Adminrechte mehr habe, sobald ich den PC in die Domäne hänge. Ich kann zwar neue User als lokalen Admin anlegen, aber selbst mit dem lokalen Adminkonto von XP bekomme ich z.B. keinen Zugriff auf den Gerätemanager und kann z.B. keinen Grafiktreiber etc. installieren. Hänge ich den PC wieder aus der Domäne raus, ist das kein Problem. Da ist anscheinend irgendwas am Domänencontroller verstellt, aber ich weiß leider nicht was. Mein Vorgänger, von dem ich das ganze übernommen habe und der nur mehr ein paar Wochen das ist (so genau weiß das keiner), den freut es absolut nicht mehr und der hat sich zum Schluss auch um fast überhaupt nichts mehr gekümmert, was nicht ganz dringend war z.B. installieren sich die meisten Mitarbeiter den PC selbst, den sie vorher irgendwo beim Niedermeyer kaufen, die Datensicherung macht die Sekretärin und nimmt dann das Band mit heim etc. Mein Vorgänger kennt das Problem, aber hat es einfach so gelöst, dass er einfach die neuen PCs gar nicht mehr in die Domäne gehängt hat, sondern einfach das vorinstallierte XP Home drauf gelassen hat und einfach eine normale Freigabe gemacht hat, wo einfach jeder irgendwie zugreifen kann, aber anscheinend funktioniert es irgendwie. Bei den alten PCs wird einfach nichts mehr installiert und die offizielle Begründung dafür war die Performance bei der Ordnersynchronisation. Jetzt wird einfach lokal gar nichts mehr gesichert (Eigene Dateien etc.) Was da noch für schöne Dinge auftauchen, will ich gar nicht wissen
Jetzt ist die Frage: Wie drehe ich den Schutz ab bei Windows Server 2003, sodass wieder jeder PC uneingeschränkte Admin-Rechte hat. Ich werden dann sowieso die Benutzer wenn möglich wieder zurückstufen auf normale Benutzer und ein einheitliches Passwort für den lokalen Admin Account vergeben, aber das ist momentan mein geringstes Problem, wenn ich daran denke, dass der Virenscanner gar keine Lizenz mehr besitzt und wahrscheinlich bald die Funktion einstellt. Damit ich aber irgendetwas machen kann, muss ich einmal lokalen Zugriff auf die PCs bekommen. Ich will nicht jedes Mal, wenn ich etwas installieren will den PC aus der Domäne raus nehmen und wieder rein, weil da werde ich wahnsinnig, da in nächster Zeit viel ansteht (z.B. flächendeckend SP2 installieren).
P.S.: Mein Nutzer ist natürlich beim Server in der Gruppe Domain Admins bzw. Administratoren und auf dem PC lokal bin ich auch noch einmal als Admin angelegt, aber es geht immer noch nicht.
Jetzt ist die Frage: Wie drehe ich den Schutz ab bei Windows Server 2003, sodass wieder jeder PC uneingeschränkte Admin-Rechte hat. Ich werden dann sowieso die Benutzer wenn möglich wieder zurückstufen auf normale Benutzer und ein einheitliches Passwort für den lokalen Admin Account vergeben, aber das ist momentan mein geringstes Problem, wenn ich daran denke, dass der Virenscanner gar keine Lizenz mehr besitzt und wahrscheinlich bald die Funktion einstellt. Damit ich aber irgendetwas machen kann, muss ich einmal lokalen Zugriff auf die PCs bekommen. Ich will nicht jedes Mal, wenn ich etwas installieren will den PC aus der Domäne raus nehmen und wieder rein, weil da werde ich wahnsinnig, da in nächster Zeit viel ansteht (z.B. flächendeckend SP2 installieren).
P.S.: Mein Nutzer ist natürlich beim Server in der Gruppe Domain Admins bzw. Administratoren und auf dem PC lokal bin ich auch noch einmal als Admin angelegt, aber es geht immer noch nicht.
Ach gottchen, das hört sich für die nächste Zukunft ziemlich kompliziert und problembehaftet an, wenn schon so oft das Wort "einfach" vorkommt ^^
Wenn Du sowieso alles umkrempeln mußt, wieso machst Du nicht einen Schnitt und baust das frisch auf, d.h. Domänenserver und einen Client, was Du auf die richtige Hardware spiegelst, wenn alles soweit ist. Dabei kannste ja alles dokumentieren, was Du ein- bzw. verstellst. Durch den alten Kram steigst Du wahrscheinlich eh nicht mehr durch oder nur mit noch mehr Aufwand. Die Clients sind bestimmt auch total vermüllt, bzw. ist eine SP-Installation auf ein benutztes Windows ja auch immer so eine Wackelgeschichte, also müssen die im Zweifel sowieso neu.
Wenn Du sowieso alles umkrempeln mußt, wieso machst Du nicht einen Schnitt und baust das frisch auf, d.h. Domänenserver und einen Client, was Du auf die richtige Hardware spiegelst, wenn alles soweit ist. Dabei kannste ja alles dokumentieren, was Du ein- bzw. verstellst. Durch den alten Kram steigst Du wahrscheinlich eh nicht mehr durch oder nur mit noch mehr Aufwand. Die Clients sind bestimmt auch total vermüllt, bzw. ist eine SP-Installation auf ein benutztes Windows ja auch immer so eine Wackelgeschichte, also müssen die im Zweifel sowieso neu.
boidsen
Grand Admiral Special
http://www.wintotal.de/Artikel/w2003server5/w2003server5.php - das könnt dir evtl. weiterhelfen. Ich hoff nur, dein Vorgänger hat nich in den Gruppenrichtlinien rumgefuscht, sonst wirds echt übel. Dann könnst evtl. noch hier nachschauen http://www.gruppenrichtlinien.de/index.html...
Zuletzt bearbeitet:
andr_gin
Grand Admiral Special
- Mitglied seit
- 12.06.2003
- Beiträge
- 3.052
- Renomée
- 24
- Standort
- St. Pölten (60km westlich von Wien)
Vielleicht kommt eh in ein paar Monaten ein neuer Server, aber ich kann das nicht wirklich entscheiden. Domänenmäßig kenne ich mich nicht wirklich aus, da ich die EDV Betreuung eigentlich nur nebenbei mache und eigentlich Programmierer dort bin und gleich ein dringendes Projekt habe, weil es ihn nicht mehr freut. Was ich aber auf jeden Fall weiß, ist das, was momentan herrscht, ein reines Chaos ist. Ist aber auch nicht wirklich verwunderlich, weil mein Vorgänger alleine war und das nur Teilzeit. Laut den Berichten der anderen kommt er normalerweise nicht vor 12 Uhr und macht dann gleich einmal eine halbe Stunde Mittagspause und um 2 ist er schon wieder weg. Da er nebenbei auch noch programmieren und testen muss, kann ich mir gut vorstellen, dass da nicht viel Zeit für sonst was bleibt. Leider muss ich mich beeilen, weil wir im Moment nicht einmal eine gültige Lizenz haben, damit wir mein Office aktivieren können und wie soll ich das ganze verwalten, wenn ich nicht einmal Excel habe
So rein gefühlsmäßig möchte ich eh behaupten, dass sich 15-20 PCs mit 10 Office Lizenzen nicht ausgehen bzw. mit 10 Windows Lizenzen, weil die Windows XP Home will ich ja auch umstellen. Das Problem ist nur, dass ich nicht einmal weiß, was da alles installiert ist. Einmal abgesehen davon muss ich bei fast jedem PC Treiber suchen, weil es natürlich jedes Mal ein anderer ist (ja klar, der wird einfach so geholt bei Bedarf. Das ist eine Sache von 10 Minuten + 30 Minuten Hin- und Rückfahrt) und dann wird einfach irgendein Heim PC gekauft. Bei manchen Rechnern haben die Leute sogar einen Zalman eingebaut, damit er leiser ist.
Edit: Der Link hat leider nicht viel gebracht. Mein User ist ja schon Administrator, aber ich kann trotzdem manche Dinge nicht ändern z.B. Treiber. Selbst mit dem lokalen Administratorkonto von XP geht es nicht und er sagt mir, dass ich nicht die benötigten Rechte habe. Der PC bzw. User spielt dabei keine Rolle. Da habe ich mehrere probiert (von denen, die nicht sowieso von der Domäne abgehängt sind). Das Problem ist, dass ich selbst als lokaler Administrator nicht alle Berechtigungen am lokalen PC habe.
Ach ja und da fällt mir ein das Anmeldeskript muss ich dann irgendwann auch noch anpassen, weil momentan werden selbst bei den Rechnern in der Domäne alle Laufwerke verbunden, auch die, wo kein Zugriff möglich ist, weil wir nur ein Loginskript haben
So rein gefühlsmäßig möchte ich eh behaupten, dass sich 15-20 PCs mit 10 Office Lizenzen nicht ausgehen bzw. mit 10 Windows Lizenzen, weil die Windows XP Home will ich ja auch umstellen. Das Problem ist nur, dass ich nicht einmal weiß, was da alles installiert ist. Einmal abgesehen davon muss ich bei fast jedem PC Treiber suchen, weil es natürlich jedes Mal ein anderer ist (ja klar, der wird einfach so geholt bei Bedarf. Das ist eine Sache von 10 Minuten + 30 Minuten Hin- und Rückfahrt) und dann wird einfach irgendein Heim PC gekauft. Bei manchen Rechnern haben die Leute sogar einen Zalman eingebaut, damit er leiser ist.
Edit: Der Link hat leider nicht viel gebracht. Mein User ist ja schon Administrator, aber ich kann trotzdem manche Dinge nicht ändern z.B. Treiber. Selbst mit dem lokalen Administratorkonto von XP geht es nicht und er sagt mir, dass ich nicht die benötigten Rechte habe. Der PC bzw. User spielt dabei keine Rolle. Da habe ich mehrere probiert (von denen, die nicht sowieso von der Domäne abgehängt sind). Das Problem ist, dass ich selbst als lokaler Administrator nicht alle Berechtigungen am lokalen PC habe.
Ach ja und da fällt mir ein das Anmeldeskript muss ich dann irgendwann auch noch anpassen, weil momentan werden selbst bei den Rechnern in der Domäne alle Laufwerke verbunden, auch die, wo kein Zugriff möglich ist, weil wir nur ein Loginskript haben
Zuletzt bearbeitet:
boidsen
Grand Admiral Special
Zusammengefasst - das übliche Chaos, was glaubst, in wievielen Firmen es genauso ausschaut 
Weiß ja ned, ob das von der benötigten Software her geht und obs deine Sache is, aber ich würd da mal ganz ernsthaft ne Umstellung auf Linux beim Server und auch bei den Clients in Erwägung ziehen.
--> Keine Lizenzprobleme und auch (zumindest wenn die Rechner ned zu exotisch sind) kein Treibertheater mehr
BTW: Probiers mal mit OpenOffice, wennde Excel nich mehr hast
Weiß ja ned, ob das von der benötigten Software her geht und obs deine Sache is, aber ich würd da mal ganz ernsthaft ne Umstellung auf Linux beim Server und auch bei den Clients in Erwägung ziehen.
--> Keine Lizenzprobleme und auch (zumindest wenn die Rechner ned zu exotisch sind) kein Treibertheater mehr
BTW: Probiers mal mit OpenOffice, wennde Excel nich mehr hast
Zuletzt bearbeitet:
andr_gin
Grand Admiral Special
- Mitglied seit
- 12.06.2003
- Beiträge
- 3.052
- Renomée
- 24
- Standort
- St. Pölten (60km westlich von Wien)
Die Konfiguriererei in Linux tu ich mir sicher nicht an. Von der Kompatibilität wäre das eine Katastrophe. Da muss ich ja auch z.B. einen Weg finden die ganzen Exchange Mail zu konvertieren. Das kann vielleicht vielleicht in einem 2 Mann Betrieb machen, wenn man selbst der Linux Freak ist, aber bei uns ist das keine Alternative. Außerdem muss das ja auch wer konfigurieren und ich bin das sicher nicht
Da fallen die paar Lizenzen überhaupt nicht ins Gewicht im Vergleich zu dem Aufwand, den wir jetzt haben. Entwickeln ja auch zu einem Großteil Software für Kunden in VB, Access etc. Wie sollen wir das dann bitte machen? Wenn ein paar Office-Lizenzen abgehen sag ich das einfach dem Chef und der muss dann entscheiden, ob wir die nachbestellen, oder eben ein paar so draufhauen. Windows ist sowieso kein Thema, aber dann bin ich aus dem Schneider.
Da fallen die paar Lizenzen überhaupt nicht ins Gewicht im Vergleich zu dem Aufwand, den wir jetzt haben. Entwickeln ja auch zu einem Großteil Software für Kunden in VB, Access etc. Wie sollen wir das dann bitte machen? Wenn ein paar Office-Lizenzen abgehen sag ich das einfach dem Chef und der muss dann entscheiden, ob wir die nachbestellen, oder eben ein paar so draufhauen. Windows ist sowieso kein Thema, aber dann bin ich aus dem Schneider.
Ähnliche Themen
