Menü Schließen

SBS 2011 – Domainbenutzer als lokalen Administrator auf Clients einrichten

Logo SBS 2011

System ist ein Small Business Server 2011 auf dem ein Benutzer für adminsitrative Zwecke auf den Clients eingerichtet werden soll. Dieser Weg ist im Grunde eher für kleinere Büros gedacht, da der nachfolgende Weg  bei größeren Netzwerken wohl eher zuviel Aufwand bedeuten würde In diesem Fall sind es 6 Windows 7 Clients. Die Anforderung ist einen lokalen Administrator zu haben der für Installationen von Updates von z.B. Firefox genutzt werden kann. Auch sollte schnell ein Scanner oder ähnliches lokal angeschlossen werden können.

Dieser Weg ist voll über die Konsole des SBS 2011 möglich und ähnelt dem der Erstellung eines neuen Benutzers. Der Vorteil dieses Weges im Gegensatz zur Nutzung eines lokalen Adminstrators auf dem Client, ist die zentrale Verwaltung des Users. So kann das Passwort zentral geändert und der User ggf. auch gesperrt werden. Der Nachteil, steht das Active Directory nicht zur Verfügung, wird der User auch nicht lokal funktionieren. Los gehts:

1. die Verwaltungskonsole starten und Benutzer und Gruppen anklicken

SBS 2011 Benutzer und Gruppen
SBS 2011 Benutzer und Gruppen

2. rechts unter Tasks ein „Neues Benutzerkonto hinzufügen“ anklicken

SBS 2011 neues Benutzerkonto
SBS 2011 neues Benutzerkonto

3. hier den Namen z.B. „lokalerClientAdmin“ vergeben

SBS 2011 Benutzerkonto anlegen
SBS 2011 Benutzerkonto anlegen

4. natürlich noch ein sicheres Passwort vergeben – Empfehlung sind min 12 Zeichen aus Groß- und Kleinbuchstaben mit Zahlen und Sonderzeichen 😉

SBS2011 Benutzerkonto Kennwort
SBS2011 Benutzerkonto Kennwort

5. Erstellung mit dem Klick auf „Erstellen“ abschließen, sodass nun der SBS für uns den gesamten Rest durchführt

SBS2011 Benutzerkonto erstellen
SBS2011 Benutzerkonto erstellen

6. an dieser Stelle passiert das entscheidende, die Zuweisung des „lokalenClientAdmin“ zu den Clients

SBS2011 Benutzer lokalen Computer zuweisen
SBS2011 Benutzer lokalen Computer zuweisen

7. Hier die Zugriffseben für den lokalenClientAdmin für jeden Client auf „Lokaler Adminstrator“ einstellen

SBS2011 Benutzer lokalen Computer zuweisen
SBS2011 Benutzer lokalen Computer zuweisen

8. als nächstes ändere ich noch ein paar Einstellungen des Benutzerkontos – dieses  soll ja nur für die Installation und Wartung am Client verwendet werden- hierfür unter Tasks von Benutzer und Gruppen auf „Eigenschaften des Benutzerkontos bearbeiten“ klicken

SBS2011 Eigenschaften Benutzerkonto
SBS2011 Eigenschaften Benutzerkonto

9. unter Remotezugriff deaktiviere ich alle Optionen wie „Der Benutzer kann auf Remotewebzugriff zugreifen“

SBS2011 Eigenschaften Benutzerkonto Remotezugriff
SBS2011 Eigenschaften Benutzerkonto Remotezugriff

10. Abschließend deaktiviere ich noch alle Optionen unter Websites: „Interne Website“ und „Outlook Web-Access“

SBS2011 Eigenschaften Benutzerkonto Websites
SBS2011 Eigenschaften Benutzerkonto Websites

Das war es. Nach dem nächsten Neustart der Clients oder nach einem gpupdate /force oder der nächsten routinemäßigen Anwendung der Policies, ist der „loakleClientAdmin“ einsetzbar. Noch kurz zum Fall, dass wesentlich mehr Clients im Netzwerk sind. Hier muss, soweit ich weiß, direkt über den Gruppenrichtlinieneditor gegangen werden. Es wird eine entsprechende Sicherheitsgruppe angelegt, die dann in den Richtlinen der OU der Clients angewendet wird. In dieser wird diese Gruppe der Gruppe der lokalen Administratoren hinzugefügt. Danach kann jeder Domainuser dieser Gruppe hinzugefügt werden, sodass dieser lokale Adminrechte erhält. Ob Sinn oder Unsinn dieser gesamten Aktion entscheidet jeder von Fall zu Fall und im Einzelfall selber 😉

4 Kommentare

  1. Dave84620

    Hallo,

    ich kenne diese Funktion nur vom SBS und habe mich nun eingelesen, dass man eine ähnliche Funktionalität auch mit GPOs auf einem „großen“ Server erreichen kann, wie hier im letzten Absatz angedeutet. Weist Du zufällig, wie der SBS die Vergabe von lokalen Admin-Rechten technisch umsetzt? Da die Einstellungen wohl nach dem Aktualisieren der GPO greifen, wird es irgendwie mit den Gruppenrichtlinien zusammenhängen. Ich habe nur nicht herausgefunden, welche Richtlinie das genau bewirkt.

    Schöne Grüße
    Dave :o)

    • JARVIS

      Hi Dave84620,
      schön das der Artikel gefällt. So ganz verstehe ich deine Frage nicht, aber ich versuchs mal, soweit ich da noch im Thema bin :). Die Konsole im SBS ist eigentlich nichts anderes als der GPO-Editor (z.T. auch in der Registry). D.h. alles was dort an Einstellungen, also Rechtetechnisch etc., gemacht wird, wird im Hintergrund als GPO umgesetzt. Ich habe jetzt keinen zur Hand, aber wenn du mal die Einstellungen vornimmst, dann kannst du mit dem GPO-Editor sehen, dass sie dort in den GPOs entspr. umgestzt werden. Also kannst du das so auch mit einem Server 2012 oder 2016 umsetzen. Die Konsole im SBS soll eigentlich diese Dinge vereinfachen und leichter für nicht so versierte Admins machen. Die Policy wird dann beim nächsten Neustart angewand, nach max 90min oder bei einem händischen „gpupdate / force“, in der Regel.

      • JARVIS

        Hi Stephan,
        das Thema ist schon etwas her und ich versuche mich mal zu erinnern, bzw. kann grade selbst dies nicht testen, aber es sollte in etwa so funktionieren: neue Security Group z.B. LocalAdmins erstellen, nun den/die Benutzer die lokale Adminrechte erhalten sollen als Member hinzufügen, dann eine neue GPO erstellen z.B. LocalADminGPO, diese nun editieren und unter Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups die neue Gruppe LocalADmins hinzufügen, unter Group Membership auf Add klicken und die Administrators Group und z.B. Remote Desktop Users hinzufügen, nun diese neue GPO noch sinnvoll z.B. mit der Domain verlinken. Das müsste es sein. Schreibe das mal auf mein ToDo und arbeite es gerne mal in einem Artikel auf :).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert