kleinhansi 10 Geschrieben 26. März 2008 Melden Teilen Geschrieben 26. März 2008 Hallo, leider hat mich die Suche hier und im Netz bisher nicht weiter gebracht. Wir haben eine W2K3 Domäne mit bisher ca. 25 Servern, 5 DCs davon 3 DCs an verteilten Standorten. Dort benötigen lokale Admins Administrator-Zugriff auf "ihre" Server, da weitere Programme installiert sind. Beim Member-Server wäre die Lösung einfach (Gruppe lokale Admins), die Domänen-Gruppe Server-Admins reicht jedoch für unsere Belange nicht aus. Möglich wären sicher sep. Applikations-Server (zu teuer) oder Sub-Domänen (jetzt zu aufwendig). Hat vielleicht jemand Lösungsansätze? :confused: Vorab vielen Dank. Grüße Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Wie wäre folgendes: Für jeden Server bastelst du eine Gruppe im AD, die Mitglied der jeweiligen lokalen Administratorengruppe ist. Und je nachdem, wer auf die Server zugreifen darf, wird Mitglied in den jeweiligen Gruppen. Oder du packst die jeweiligen Serveradmingruppen in die lokale Policy, wer sich lokal anmelden darf. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Hallo kleinhansi, als Planungs-Vorschlag für die Zukunft: AD DS: Read-Only Domain Controllers Administrator role separation You can delegate local administrative permissions for an RODC to any domain user without granting that user any user rights for the domain or other domain controllers. This permits a local branch user to log on to an RODC and perform maintenance work on the server, such as upgrading a driver. However, the branch user cannot log on to any other domain controller or perform any other administrative task in the domain. In this way, the branch user can be delegated the ability to effectively manage the RODC in the branch office without compromising the security of the rest of the domain. LG Gadget Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Hallo kleinhansi, als Planungs-Vorschlag für die Zukunft: AD DS: Read-Only Domain Controllers LG Gadget Soweit alles gut und schön, nur "leider" mit dem Update auf Win2008 verbunden. ;) Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 deswegen ja auch der Satz: als Planungs-Vorschlag für die Zukunft Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 das hab ich schon so verstanden... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.