ablaze 10 Geschrieben 21. Mai 2008 Melden Teilen Geschrieben 21. Mai 2008 Habe folgendes Problem: Ich habe eine Win Server 2003 Active Directory. In dieser AD sind 2 OUs Berlin und Hamburg konfiguriert. In dieser OU gibt es jeweils einen User der Administrative Rechte innerhalb seiner OU bekommen soll. Der User (z.B. hhadmin für die OU Hamburg) soll alle Clients und PCs in seiner OU Administrieren können, ebenfalls soll er sich an dem DC anmelden können, welcher in Hamburg steht. Er soll keine Änderungen an der OU Berlin durchführen können. Reicht das aus, wenn ich in der jeweiligen OU den jeweiligen Administrator (z.B. hhadmin für die OU Hamburg) in Verwaltet von Eintrage? Ich gehe davon aus, dass der Eintrag nach unten Vererbt wird. Da sich darunter die verschiedenen OUs mit den Abteilungen befinden? Wie weiße ich am besten dem jeweiligen Administrator das recht zu sich an seinem DC anzumelden? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. Mai 2008 Melden Teilen Geschrieben 21. Mai 2008 Rechtsklick auf die OU - Objektverwaltung zuweisen ... Um diese Objekte verwalten zu können, muss sich niemand am DC anmelden können. Eine benutzerdefinierte MMC reicht da aus. Wenn er sich aber doch anmelden soll, dann muss das in den Benutzerrechten eingestellt werden. Das Benutzerrecht "Lokal anmelden zulassen" wird in der Default Domain Controller Policy standardmässig eingestellt, das Benutzerrecht "Anmelden über Terminaldienste zulassen" in der lokalen Policy des DCs. Ich würde diese Benutzerrechte auf OU-Ebene (Domain Controllers OU) einstellen, aber nicht in der Default Policy ... Zitieren Link zu diesem Kommentar
ablaze 10 Geschrieben 21. Mai 2008 Autor Melden Teilen Geschrieben 21. Mai 2008 vielen Dank für deine schnelle Antwort. Anmelden aus dem Grund: Die Server stehen in verschiedenen Niederlassungen. In diesen Niederlassungen soll man sich nicht mit dem Domänen Admin an der Maschiene anmelden, da sonst auf beide OUs wieder zugegriffen werden kann. Am DC soll sich mit dem jeweiligen "Erstzadmin" angemeldet werden können. (zB. hhadmin). Dieser muss aber auch in der Lage sein Administrative Tätigkeiten auf dem Server zu tun, zb Software installieren. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 21. Mai 2008 Melden Teilen Geschrieben 21. Mai 2008 Servus, der Benutzer dem die benötigten Rechte delegiert werden, entweder durch den Objektdelegierungsassistenten oder durch direktes bearbeiten der DACL in den erweiterten Sicherheitseinstellungen der OU oder durch zuweisen der Rechte mit dem Kommandozeilenprogramm DSACLS, bekommt auf seiner Workstation das Adminpak mit lediglich den AD-Snap-Ins installiert oder eben eine angepasste MMC (Stichwort: Taskpad). Der Benutzer muss sich nicht am DC anmelden, um seine OU zu administrieren. Das kann er alles von seinem Client aus. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Die Softwareinstallation auf einem DC kannst du so aber nicht lösen, da kannst du den Benutzer gleich zum Admin erklären, denn es gibt kein einzelnes Recht "erlaube dem Benutzer die Softwareinstallation und das auch noch auf dem DC". Genau für dein Szenario ist der Read-Only Domänencontroller (RODC) im Windows Server 2008 gedacht. Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.