guybrush 19 Geschrieben 7. Mai 2008 Melden Teilen Geschrieben 7. Mai 2008 hallo, ich habe nun begonnen, mehrere user zu erstellen, die administrative tasks delegiert bekommen haben. dass das domänenadminpasswort so "populär" geworden ist, hat mich mit der zeit schon gestresst. funktioniert so auch einwandfrei, nur hab ich 2 kleinigkeiten noch nicht ganz verstanden: - wie kann ich dem delegierten user das recht gewähren, sich am dc per rdp anzumelden? die gruppe der terminaluser gibt es ja lokal nicht mehr. ich habe auch schon versucht, per gpo das recht zum anmelden an server zu vergeben, aber das hat auch nicht gefruchtet. - wo kann ich sehen, welche rechte ich ihm schon delegiert habe? nachdem der wizard beendet wird, finde ich dazu nirgends mehr eine zusammenfassung oder ähnliches. vielen dank schon im voraus grüße johannes Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 7. Mai 2008 Melden Teilen Geschrieben 7. Mai 2008 hallo, ich habe nun begonnen, mehrere user zu erstellen, die administrative tasks delegiert bekommen haben. [/quote NICHT an User delegieren. IMMER an Gruppen. Sonst machst du dir auch keine Freude damit. - wie kann ich dem delegierten user das recht gewähren, sich am dc per rdp anzumelden? Anmeldung per Terminaldienste erlauben in der DDCP oder lokal pro DC. die gruppe der terminaluser gibt es ja lokal nicht mehr. Nö, aber in der Domain schon ;) - wo kann ich sehen, welche rechte ich ihm schon delegiert habe? nachdem der wizard beendet wird, finde ich dazu nirgends mehr eine zusammenfassung oder ähnliches. Gibts in der Form auch nicht. Du kannst dir die Rechte pro Objekt anschauen (Reiter Sicherheit). Oder eben an der cmd mittels dsacls. Schau dir mal die Delegations How-Tos auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials an. Da hab ich dazu ein bisschen geschrieben. Bye Norbert Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 8. Mai 2008 Autor Melden Teilen Geschrieben 8. Mai 2008 hallo norbert, danke für deine antworten. ich hab die delegation schon an eine gruppe erteilt, die aber nur einen user enthält (pro site) ;-) auch wenn sich in meinem environment höchstwahrscheinlich nicht viel ändern wird, hab ich den tip schon vorher in die tat umgesetzt der user ist bereits in der domänengruppe remotedesktopbenutzer, auch lokal am dc habe ich in im register remote zu den erlaubten usern hinzugefügt. dennoch scheine ich was vergessen zu haben? grüße aus der (vom stromausfall verursachten) nachtschicht johannes ps.: in den default policies will ich eigentlich net wirklich rumschrauben. ausserdem soll, das hab ich noch vergessen, nur der zugriff auf den dc in der jeweiligen zweigstelle erlaubt sein. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 8. Mai 2008 Melden Teilen Geschrieben 8. Mai 2008 danke für deine antworten.ich hab die delegation schon an eine gruppe erteilt, die aber nur einen user enthält (pro site) ;-) auch wenn sich in meinem environment höchstwahrscheinlich nicht viel ändern wird, hab ich den tip schon vorher in die tat umgesetzt Gut. der user ist bereits in der domänengruppe remotedesktopbenutzer, auch lokal am dc habe ich in im register remote zu den erlaubten usern hinzugefügt. dennoch scheine ich was vergessen zu haben? [/Quote] Hast du dem User/der Gruppe das Recht gegen sich per rdp anzumelden? Innerhalb der Sicherheitsrichtlinien. Es kann sein, dass das nicht funktioniert, da du im Remotedesktop modus per default Adminrechte benötigst. Du könntest also den RDP Listener für diese Gruppe freischalten (Lizenztechnisch grenzwertig, aber es geht ja immer noch um administrativen Zugriff). ps.: in den default policies will ich eigentlich net wirklich rumschrauben. ausserdem soll, das hab ich noch vergessen, nur der zugriff auf den dc in der jeweiligen zweigstelle erlaubt sein. Du sollst ja eigentlich auch pro DC gpedit.msc aufrufen und nicht unbedingt eine DDCP oder auf der OU Domain Controllers verknüpfte GPO nehmen. Da diese dann für alle gelten würde. gpedit.msc aber nur pro DC gilt, solange nichts anderes in einer Domain GPO definiert wird. Bye Norbert Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 9. Mai 2008 Autor Melden Teilen Geschrieben 9. Mai 2008 hallo norbert, gpedit hats gebracht. ich hab gleich wieder an die herbe policy gedacht ;-) vielen dank, jetzt werd ich mal schauen, was sonst noch so zu erlauben ist. ich wünsche auf jeden fall mal ein schönes pfingstwochenende lg johannes Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.