Windows 2003 - Client hat keine Administratorrechte

Hallo,

ich habe soeben meinen PC in eine Domäne gehoben. Die Anmeldung an die Domäne klappt wunderbar.
Auf dem Windows 2003 Server kann ich auch eine Verbindung zu diesem PC aufbauen. Der lokale Benutzer ist als Administrator eingetragen, aber diese Rechte habe ich leider nicht auf dem Client, weil ich keine Programme installieren kann. Ich bin ein bißchen ratlos. Wer kann helfen ?

Gruss
lemmond

Eine sehr unelegante Methode, aber wenigstens geht es schnell...

Ich taufe jetzt mal alles, damit wir so richtig durcheinanderkommen Du ersetzt das dann alles gegen die richtigen Namen.

Deine Domäne heißt NWTraders.com
Dein Domänen-Controller heißt SERVER01.NWTraders.com
Die ehem. Workstation heiße PC01.NWTraders.com

Den immer noch vorhandenen lokalen Administrator nenne ich PC01\Administrator
Das vielleicht vorhandene Domänen-Benutzerkonto heißt NWTraders.com\usrBert

usrBert ist Mitglied in der globalen Gruppe Domänen-Benutzer. usrBert soll auf PC01 Software installieren, für die seine Berechtigungen nicht reichen.

Du musst

- dich mit dem lokalen Adminstrator an PC01 anmelden, nicht(!) an der Domäne
- die lokale Computerverwaltung auf PC01 starten
- dich zu Lokale Gruppen und Benutzer\Gruppen durchhangeln
- ins rechte Fenster wechseln und einen Doppelklick auf Administratoren machen

Da sollten schon ein paar Nasen drin stehen. Z. B. PC01\Administrator und/oder NWTraders\Domänen-Admins
Weil du als lokaler Administrator an der Workstation angemeldet bist und die Workstation ein gültiges Konto in der Domäne NWTraders.com hat... kannst du jetzt usrBert (der ja mit seinem Konto auf SERVER01 wohnt) hinzufügen.

1. ein Klick auf Hinzufügen... Darauf öffnet sich das Fenster Benutzer, Gruppen oder Computer auswählen der Suchpfad sollte jetzt schon auf NWTraders.com eingestellt sein.

2. Geben Sie die zu verwendenden Objektnamen ein in deinem Fall wäre das NWTraders\usrBert

3. Namen überprüfen Wenn alles stimmt, wird der Eintrag jetzt unterstrichen

4. Ok und noch mal Ok. usrBert ist jetzt in der Gruppe der lokalen Adminstratoren auf  PC01 (Hauptbenutzer hätte dicke gereicht ). Die neuen Rechte ziehen mit der nächsten Anmeldung an. Alle Fenster schließen und den lokalen Admin von PC01 abmelden.

5. Anmeldung als usrBert . ABER an der Domäne (dort hat er ja nur ein Konto).

Wenn ich mir keinen groben Schnitzer erlaubt habe, müsste sich die Software jetzt installieren lassen.


EDIT: 3 Punkt 1 fehlt. Wenn du usrBert zum Local-Admin machen willst, fragt deine Domäne nach einer entsprechenden Berechtigung dafür. Das ist genau das AdminKonto- und -kennwort, das du auch gebraucht hast, um die Workstation in die Domäne aufzunehmen.

Vielen Dank für Dein schönes Beispiel ! Ist alles so, wie Du es beschrieben hast, aber in einem Punkt leider nicht, der Suchpfad ist leider auf PC01 eingestellt, um bei Deinem Beispiel zu bleiben. Vielleicht liegt es daran, daß ich mich nicht an die Domäne angemeldet habe, aber das sollte ich ja nicht, wie Du geschrieben hast.
Deswegen kann ich NWTraders.com\usrBert leider nicht hinzufügen.
Der Computername lautet ganz richtig PC01.NWTraders.com, die Domäne NWTraders.com.

Die Benutzerliste sieht so aus:

Administrator an PC01
Peter Lustig an PC01
Gast an PC01

Dann zurück ans Reißbrett

Können wir mal mit den Basics anfangen? Ein IPCONFIG /ALL von Domänen-Controller und Workstation, bitte.

EDIT: über einen Klick auf den Button Pfade... lässt sich der Suchpfad auch nicht ändern?

hi, der Suchpfad läßt sich auch über den Button nicht ändern.

Die Daten gebe ich Dir morgen. Danke Dir !

Noch ein Versuch eine kleine Abwandlung vom ersten Rezeptbuch. Wir spannen den Server mehr ein. Möglicherweise ist es nur eine Verständnissache.

PC01 muss nur eingeschaltet sein. Ob jemand daran angemeldet ist oder nicht, interessiert im Moment nicht.

- du startest auf dem Domänen-Controller das Snap-In Active Directory-Benutzer und -Computer
- du wechselst zu der OU oder den Container, in dem PC01 liegt
- Rechtsklick auf PC01 und dann ein Klick auf Verwalten

Jetzt öffnet sich die Computerverwaltung und PC01 ist bereits verbunden. Zu erkennen an dem Eintrag Computerverwaltung (PC01.NWTRADERS.COM) Wenn das da so steht, dann hat PC01 noch immer ein gültiges Konto in der Domäne. Schon mal die halbe Miete.

Ab jetzt, wie gehabt; durchhangeln zu Lokale Benutzer und Gruppen\Gruppen, Doppelklick auf Administratoren usw. usw.

Wenn der Rechner nicht gefunden wird oder der Suchpfad noch immer nicht mit nwtraders.com vorbelegt ist und sich auch nicht einstellen lässt, funktioniert dein AD nicht.

Du kannst das Computerkonto von PC01 noch mal zurücksetzen, die Workstation noch mal aus der Domäne rausnehmen, wieder in die Domäne bringen... Aber in den allermeisten Fällen liegt es an einem nicht richtig konfiguriertem DNS.

Der_Heinerich_:) schrieb:

[...]
Du musst

- dich mit dem lokalen Adminstrator an PC01 anmelden, nicht(!) an der Domäne[...]

Zum Vergrößern anklicken....

Genau hier liegt der Fehler - er muss sich eben genau als _Domänen-Admin_ an der Kiste anmelden, um einen _Domänen-User_ der lokalen Gruppe Administratoren hinzufügen zu können. Der lokale Admin darf genau das _nicht_.

Davon mal ganz abgesehen:
- Software installiert man _immer_ als Admin
- im Zweifelsfall mit Rechtsklick => Ausführen als
- ein Benutzer hat inner Domäne _niemals_ das Recht, Software zu installieren

Gruss
twoday

Wen auch immer ich an PC01 anmelden will, der muss auf PC01 ein Benutzerkonto haben. Hat der Domänen-Admin aber nicht. Der Domänen-Admin kann sich nicht an PC01 anmelden.

Also muss ich den Umweg über den lokalen Admin der Workstation nehmen. Alles einrichten und dann kommt Punkt 3.1 meines ersten Rezeptbuches.

Das für Normalsterbliche die Berechtigung zu hoch ist, ist mir klar. Aber Adminrechte waren nun mal gefordert, gelle?

Häh?
Sobald ein Rechner einer Domäne hinzugefügt wird, sind _KEINE_ lokalen Konten mehr erforderlich, man meldet sich mit einem Domänenbenutzer am Rechner an; imho haben auf Domänen-Rechnern lokale Konten auch gar nix verloren.

Beim Hineinheben in die Domäne wird die Gruppe Domänen-Admins automatisch zum Mitglied der lokalen Gruppe Administratoren, somit hat jeder Domänen-Admin vollen Zugriff auf jeden Domänen-Rechner.

Gruss
twoday

...kann sich aber nicht lokal daran anmelden.

Der_Heinerich_:) schrieb:

...kann sich aber nicht lokal daran anmelden.

Zum Vergrößern anklicken....

Der Sinn einer Domäne ist es, _KEINE_ lokalen Benutzer mehr verwalten zu müssen, sondern eben mit Domänen-Benutzern zu arbeiten, denn ein Domänen-Benutzer kann sich an jedem Rechner, der zur Domäne gehört, mit seinem Benutzernamen und Kennwort anmelden, _OHNE_ dass dazu ein lokal angelegter Benutzer nötig ist.

Um es auf den Punkt zu bringen:
Um einem Domänenbenutzer auf einem Domänenrechner Admin-Rechte zu gewähren muss man besagten Nutzer lediglich der lokalen Gruppe Administratoren hinzufügen - wie das geht, hast du ja bereits beschrieben, lediglich der kleine Fehler mit dem Admin-Konto verhindert, dass es so funktioniert.

Also nochmal in Kurzform:
- als Domänen-Admin am Rechner anmelden
- Computerverwaltung öffnen => Lokale Benutzer und Gruppen => Gruppen
- Administratoren doppelklicken
- Hinzufügen klicken
- Vergewissern, das als Suchpfad die Domäne drinsteht
- Domänenbenutzer zur Gruppen Administratoren hinzufügen
- Mit OK bestätigen, Computerverwaltung schliessen
- Eben hinzugefügten Domänenbenutzer am Rechner anmelden
- Nun hat er Admin-Rechte auf dieser Maschine

Und wenn man dem User auf allen Domänen-Rechnern Admin-Rechte erteilen will, wiederholt man das eben auf jedem Rechner einmal oder benutzt Gruppenrichtlinien. Von letzterem mal abgesehen ist es gar nicht nötig, sich an jedem Rechner als Domänen-Admin anzumelden, die Computerverwaltung eines jeden Domänen-Rechners lässt sich z.B. vom Server aus problemlos öffnen, sodaß man sich den Weg zu jedem einzelnen Rechner ersparen kann.

Gruss
twoday

Du hast Recht - und ich hab meine Ruhe!

Der_Heinerich_:) schrieb:

Du hast Recht[...]

Zum Vergrößern anklicken....

Stimmt, das habe ich tatsächlich.
Aber lassen wir den Verfasser dieses Threads darüber entscheiden, wenn er es mal nach meiner Methode versucht hat....

Gruss
twoday

Guten Abend,

vielen Dank für die netten Beiträge. Ich werde sie mal durcharbeiten und dann Stellung dazu beziehen. Ich wollte heute einen zusätzlichen Domänencontroller installieren.
Dann kam die Meldung, daß der DNS-Name vom PDC nicht gefunden wurde. Ich vermute also stark, daß der DNS-Server nicht richtig konfiguriert ist.
Was sollte ich zuerst überprüfen ?
Danke an Euch und gute Nacht.

Gruss
lemmond

Eines vorweg:
In einem AD gibt es keine PDC/BDC-Architektur mehr, alle DCs sind gleichberechtigt. Es gibt lediglich die FSMO-Roles, eine davon ist der PDC-Emulator, der aber nur noch für die Abwärtskompatibilität mit alten System wie NT benötigt wird.

Wenn du einen zweiten DC einrichten willst musst du in dessen TCP/IP-Einstellung die IP-Adressen des vorhandenen DCs als DNS-Server Adresse angeben.

Da du ja schon einen DC hast, muss auch der DNS-Server funktionieren, da dieser bei der Promotion des Servers zum DC zwingend mitinstalliert wird.

Gruss
twoday

P.S.:
Evtl. ne interessante Lektüre für dich?
http://www.wintotal.de/Artikel/w2003server1/w2003server1.php + folgende Teile

Erstmal vielen Dank für die große Hilfsbereitschaft.
Ich habe mir die ganze Artikelreihe bereits durchgelesen und finde sie auch sehr interessant,
habe die Anleitungen auch genauestens befolgt, aber in der DNS-Konsole meines PDC sehe
ich diese Ordner mit den Namen _sites, _tcp, _udp, DomainDNSZones und ForrestDNSZones gar nicht.
Da musss also der Fehler liegen. Was ich dazu sagen muß, ist, daß ich DNS manuell konfiguriert habe.

lemmond schrieb:

[...]daß ich DNS manuell konfiguriert habe.[...]

Zum Vergrößern anklicken....

Was genau meinst du damit - manuell konfiguriert?
Hast du ausser deinem DC noch einen weiteren Server im Netz?
Irgendwo muss ja ein brauchbarer DNS-Server laufen, sonst hätte die Installation des AD nicht geklappt bzw. müsstest du von Fehlermeldungen erschlagen werden.

Gruss
twoday

hi, sorry, nachträglich ist wahrscheinlich passender.
Ich habe DNS nicht gleich mit dem AD installiert.
Das meine ich damit !
Wie dem auch sei, irgendwo scheint es ein Problem zu geben.

Ein ipconfig /all liefert dies:

Primäres DNS-Suffix: -
Knotentyp: unbekannt
IP-Routing aktiviert: ja
WINS-Proxy aktiviert: ja

Kannst Du damit was anfangen ?

Ja, es laufen noch zwei ältere Domänencontroller im Netz, die aber
demnächst abgeschaltet werden. Die Domänennamen sind aber
ganz andere. Sie sollen durch die zwei neuen DC ersetzt werden...

Hallo, ich poste nochmal die Fehlermeldung, in der Hoffnung, daß mir jemand helfen kann:

Der Domänenname MYDOMAIN ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.

Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domänencontrollers für die Domäne MYDOMAIN verwendet wird:

Fehler: Der DNS-Name ist nicht vorhanden.
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungeintrags (SRV) für _ldap._tcp.dc._msdcs.MYDOMAIN

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Domänencontroller erforderlichen DNS-SRV-Einträge wurden mit DNS nicht registriert. Diese Einträge werden mit einem DNS-Server automatisch registriert, wenn ein Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit folgenden IP-Adressen konfiguriert:

162.0.10.210

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

MYDOMAIN
. (die Stammzone)

Klicken Sie auf Hilfe, um weitere Informationen zu erhalten.