System ist ein Small Business Server 2011 auf dem ein Benutzer für adminsitrative Zwecke auf den Clients eingerichtet werden soll. Dieser Weg ist im Grunde eher für kleinere Büros gedacht, da der nachfolgende Weg bei größeren Netzwerken wohl eher zuviel Aufwand bedeuten würde In diesem Fall sind es 6 Windows 7 Clients. Die Anforderung ist einen lokalen Administrator zu haben der für Installationen von Updates von z.B. Firefox genutzt werden kann. Auch sollte schnell ein Scanner oder ähnliches lokal angeschlossen werden können.
Dieser Weg ist voll über die Konsole des SBS 2011 möglich und ähnelt dem der Erstellung eines neuen Benutzers. Der Vorteil dieses Weges im Gegensatz zur Nutzung eines lokalen Adminstrators auf dem Client, ist die zentrale Verwaltung des Users. So kann das Passwort zentral geändert und der User ggf. auch gesperrt werden. Der Nachteil, steht das Active Directory nicht zur Verfügung, wird der User auch nicht lokal funktionieren. Los gehts:
1. die Verwaltungskonsole starten und Benutzer und Gruppen anklicken
2. rechts unter Tasks ein “Neues Benutzerkonto hinzufügen” anklicken
3. hier den Namen z.B. “lokalerClientAdmin” vergeben
4. natürlich noch ein sicheres Passwort vergeben – Empfehlung sind min 12 Zeichen aus Groß- und Kleinbuchstaben mit Zahlen und Sonderzeichen 😉
5. Erstellung mit dem Klick auf “Erstellen” abschließen, sodass nun der SBS für uns den gesamten Rest durchführt
6. an dieser Stelle passiert das entscheidende, die Zuweisung des “lokalenClientAdmin” zu den Clients
7. Hier die Zugriffseben für den lokalenClientAdmin für jeden Client auf “Lokaler Adminstrator” einstellen
8. als nächstes ändere ich noch ein paar Einstellungen des Benutzerkontos – dieses soll ja nur für die Installation und Wartung am Client verwendet werden- hierfür unter Tasks von Benutzer und Gruppen auf “Eigenschaften des Benutzerkontos bearbeiten” klicken
9. unter Remotezugriff deaktiviere ich alle Optionen wie “Der Benutzer kann auf Remotewebzugriff zugreifen”
10. Abschließend deaktiviere ich noch alle Optionen unter Websites: “Interne Website” und “Outlook Web-Access”
Das war es. Nach dem nächsten Neustart der Clients oder nach einem gpupdate /force oder der nächsten routinemäßigen Anwendung der Policies, ist der “loakleClientAdmin” einsetzbar. Noch kurz zum Fall, dass wesentlich mehr Clients im Netzwerk sind. Hier muss, soweit ich weiß, direkt über den Gruppenrichtlinieneditor gegangen werden. Es wird eine entsprechende Sicherheitsgruppe angelegt, die dann in den Richtlinen der OU der Clients angewendet wird. In dieser wird diese Gruppe der Gruppe der lokalen Administratoren hinzugefügt. Danach kann jeder Domainuser dieser Gruppe hinzugefügt werden, sodass dieser lokale Adminrechte erhält. Ob Sinn oder Unsinn dieser gesamten Aktion entscheidet jeder von Fall zu Fall und im Einzelfall selber 😉
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.