Ttobsen 10 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Moin, mit was für Konsequenzen habe ich zu rechnen, wenn ich die Gruppe der Domänen-Admins aus der Lokalen Gruppe eines Clients werfe dieser aber weiterhin in der Domäne(pure 2k3) verbleiben soll? Hab da kein gutes Bauchgefühl bei (Richtlinienaktualisierung etc.) und würde diese Gefühl gerne untermauern. VG, Ttobsen Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Du wirst als Domänen_Admin die Maschinen nicht mehr remote administrieren können, nicht auf aministrative Shares zugreifenkönne (C$ usw.), nicht remote auf die komplette Ereignisanzeig zugreifen können etc. Warum willst du das machen ? grizzly999 Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Hallo Zusammen Teilweise hatten wir auch "komische" Probleme, da wir gewisse Scripts v.a. für Reparaturen mit Domain admin rechten ausführen liessen über den Logonscript. Ich weiss grad das Tool nicht mehr, womit wir diese scripts generierten (da wir natürlich keine Domain Admincredentials plain im Script haben). Gruss, MAtthias Zitieren Link zu diesem Kommentar
Ttobsen 10 Geschrieben 1. März 2007 Autor Melden Teilen Geschrieben 1. März 2007 Warum willst du das machen ?grizzly999 Wollen? Nein, ich suche eher nach Argumenten dies zu verhindern. ;) Die oben genannten Konsequenzen (Remote-Zugriff, RPC, Shares etc) sind dabei zu vernachlässigen. Ich denke da eher an grundsätzliche Dinge, z.B. die 30 tägige Überprüfung der Domänenmitgliedschaft des Computerkontos (Ich weiß das passiert über die sid, wäre aber n klasse Grund um diesem Vorhaben einhalt zu gebieten). Also Dinge, welche die einwandfreie Domänenzugehörigkeit für das Computerkonto negativ beinflussen... In welcher Form auch immer. Vielleicht auch nur "Schmuddeleffekte" die aus einem solchen Vorhaben resultieren könnten. Meine Technet-Recherchen verlaufen etwas zäh da ich nicht weiß nach welchen Fehlerbild ich suchen kann :( Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Gegenfragen: 1. Verstehe ich richtig, dass die Gruppe der Domänen-Admins nicht mehr in der lokalen Gruppe der Administratoren sein soll? 2. Welchen Sinn soll das haben? Zitieren Link zu diesem Kommentar
Ttobsen 10 Geschrieben 1. März 2007 Autor Melden Teilen Geschrieben 1. März 2007 zu 1. ja genau das... Das Computerkonto soll Mitglied der Domäne sein und der Dom. Admin soll wieder aus der Gruppe der lokalen Admins geworfen werden. zu 2. Den Sinn suche ich auch... Es ist als Auflage bei mir gelandet. Ich kann es nicht nachvollziehen und mein Bauchgefühl schreit "Nein, tu es nicht" aber leider habe ich keine stichhaltigen Argumente um zu sagen "Nein, denn geht dies und jenes nicht mehr." Die offensichtlichen und bereits genannten Punkte unterstützen nur den Admin und dem soll es scheinbar natürlich so "ungemütlich" wie möglich gemacht werden. Zu Not wird ne GPO gebaut und der Dom-Admin kommt nachträglich wieder mit in die lokale Gruppe ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.