SBS 2003 und lokale Useraccounts

Ich habe einen SBS 2003 als DC installiert.
Danach habe ich die Clients, welche vorher nur als Arbeitsgruppen PC's installiert waren, in die Domäne aufgenommen.

Nun kann man ja bei der Anmeldung auswählen ob man sich LOKAL AN DIESEM PC oder an de DOMÄNE anmelden möchte.
Eigentlich Unsinn, aber es gibt bestimmte User, welche nur LOKAL AM PC angemeldet sein sollen, aber ADMINISTRATOR RECHTE benötigen.

Die User die sich aber LOKAL anmelden haben keine Administratoren Rechte mehr.
Dies kann ich nur dann wieder über die Benutzereigenschaften ändern, in dem ich mich mit dem lokalen Administrator Konto anmelde und dem User wieder die Administratoren Rechte gebe.
Meldet sich aber nun ein User an der Domäne an, haben alle lokalen User keine administratoren Rechte, nur eben der lokale Administrator.

Ich vermute das seit Windows 2003 Server dies so gewollt ist, also das es nur ein lokales Administratoren Konto geben darf bzw. nur noch der lokale Administrator die Administratorenrechte haben darf.
Leider habe ich aber dies bezüglich keine Informationen gefunden.
Aus den alten NT 4.0 Zeiten weiß ich noch das die lokalen Benutzerkonten nicht angerührt wurden und ihre rechte behielten.

Liege ich mit dieser Aussage bzw. Annahme nun richtig, oder läuft irgendetwas falsch ???
Falls dies so gewollt ist, gibt es eventuell eine Möglichkeit dies wieder so hin zu bekommen wie bei NT 4.0 ??

Deine User die sich lokal anmelden und adminrechte hatten haben diese auch danach noch.
Lokale User werden nicht angerührt wenn du den PC in eine Domäne stellst.

In der Domäne haben sie allerdings ein neues Domänenkonto, das hat erst mal nur Benutzerrechte auf dem PC. Die musst du lokal zu den Administratoren hinzufügen.

Und da beißt sich wohl die Maus den Faden ab, denn die User die LOKAL angemeldet waren und auch ein ADMINISTRATOREN RECHTE haben, sind bei der nächsten Anmeldung eines Users der sich an der Domäne anmeldet nicht mehr in den lokalen Konten gelistet.

Also wenn ich z.B. einen User MAIER lokal mit Adminrechten versorge, der aber in der Domäne KEINEN ACCOUNT hat, hat erstmal Adminrechte.
Meldet sich nun der User SCHMITT, welcher ein Domänenaccount mit normalen Benutzerrechten hat, und danach wieder der User MAIER am LOKALEN PC, so hat der User MAIER keine Adminrechte mehr und wird auch in den lokalen Benutzern nicht aufgeführt.
Setze ich aber nun der User MAIER auf HAUPTBENUTZER und betreibe das gleiche spiel wieder, dann ist der Useracount MAIER lokal noch vorhanden, aber eben nur mit dem Hauptbenutzerrechten.

Ansich finde ich das als Admin nicht schlimm, denn so gibt es nur EINEN LOKALEN ADMINISTRATORACCOUNT, aber leider funktioniert die Software die die User welche sich nur LOKAL ANMELDEN DÜRFEN nur mit ADMINRECHTEN, somit ist es recht mühsam jeden User wieder anzulegen bzw. diesem dann wieder Adminrechte zu verschaffen.

OK, ich könnte nun den LOKALEN USERN einfach nur HAUPTBENUTZERRECHTE geben und Ihnen auf den benötigten Verzeichnissen den VOLLZUGRIFF gewähren, aber müsste ich erstmal wieder die ganze Softwareinstallation nachverfolgen umdann entsprechende dieBerechtigungen zu setzen :-[

So ein Problem hatte ich noch nicht...

Kann eigentlich nur an Gruppenrichtlinien liegen die du oder jemand konfiguriert hat, oder am Loginscript.

Von alleine kommt dieser Effekt sicherlich nicht zustande.

Wär interessant zu wissen was konfiguriert wurde!?!

OK, GPO's sind aktiviert, aber diese greifen doch nur die DOMÄNENBENUTZER an und nicht USER die LOKAL angelegt sind oder verwechsle ich da nun etwas ???

Die greiffen auch auf Computer die in der Domäne sind

Klar, aber dafür müsste es eine GPO sein die auf COMPUTER erstellt ist und nicht auf BENUTZER.

Richtig.

Tja aber meine GPO ist eine BENUTZERDEFINIERTE Richtlinie und sollte daher die LOKALEN USER KONTEN nicht angreifen.

Tomy schrieb:

Tja aber meine GPO ist eine BENUTZERDEFINIERTE Richtlinie und sollte daher die LOKALEN USER KONTEN nicht angreifen.

Zum Vergrößern anklicken....

In der GPMC kannst Du den Benutzerpart der Policy deaktivieren.

Gruß
Sven