flooo 10 Geschrieben 21. August 2008 Melden Teilen Geschrieben 21. August 2008 Hallo, folgendes Problem. Wir sind Mitglied der Enterprise Gruppe in der Rootdomain. Wenn wir uns jedoch auf Mitgliedsservern einer der Subdomains einloggen, fehlt uns da jegliche administrative Berechtigung. Wie kann das sein? Normalerweise sollte doch der Enterprise Admins Kontrolle über alles haben? Zitieren Link zu diesem Kommentar
NilsK 2.938 Geschrieben 21. August 2008 Melden Teilen Geschrieben 21. August 2008 Moin, die Rolle Enterprise Admin ist zunächst einmal für die Verwaltung des AD-Forest gedacht. Je nach Umgebung kann die Mitgliedschaft dieser Gruppe in den domänenlokalen Gruppen durchaus eingeschränkt sein, ebenso können die Berechtigungen der Gruppe eingeschränkt werden (dabei sollte man aber wissen, was man tut). Es ist also kein "Gott-Modus", dort Mitglied zu sein. Die administrativen Rechte auf Domänenrechnern werden standardmäßig über die Globale Gruppe "Domänen-Admins" verwaltet, die bei der Domänenaufnahme in die lokale Admingruppe jedes Rechners aufgenommen wird. Da eine Globale Gruppe nur Mitglieder aus derselben Domäne haben kann, sind die Enterprise Admins nicht dabei und können in Subdomänen auch nicht eingefügt werden. Gruß, Nils Zitieren Link zu diesem Kommentar
flooo 10 Geschrieben 22. August 2008 Autor Melden Teilen Geschrieben 22. August 2008 Hallo Nils, gibt es irgendeine andere Möglichkeit das Problem zu lösen ? Zitieren Link zu diesem Kommentar
NilsK 2.938 Geschrieben 22. August 2008 Melden Teilen Geschrieben 22. August 2008 Moin, wenn du dein Problem mal beschreibst - was hast du denn eigentlich vor? - sicher. Gruß, Nils Zitieren Link zu diesem Kommentar
flooo 10 Geschrieben 22. August 2008 Autor Melden Teilen Geschrieben 22. August 2008 Hallo, wir haben diverse Subdomänen für unsere Geschäftsstellen. Wir (also die Admins im HQ und damit auch Admins der Hauptdomäne und des Forests) müssen gelegentlich auf Mitgliedsservern der Subdomänen bei Problemen administrativ aktiv werden. Wir haben in den Geschäftsstellen/Subdomänen auch Admins, die auch in der "Domain Admins-Gruppe" der Subdomänen sind und sich dort eigentlich um die Server kümmern. Nur haben wir im HQ keinen administrativen Rechte auf den Mitgliedsservern (aber auch Workstations) der Subdomänen. Das ist auch schon das Problem. Ich könnte mir vorstellen, dass das mit der Erstellung von ein paar Universal Groups/Global Groups eventuell zu lösen wäre, nur wie ? Zitieren Link zu diesem Kommentar
flooo 10 Geschrieben 26. August 2008 Autor Melden Teilen Geschrieben 26. August 2008 Hallo, existiert für das Problem kein Lösungsansatz, d.h. ist es wirklich erforderlich in der entsprechenden Subdomain sich einen eigenen Account anzulegen ? (So habe ich es im Moment gelöst) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. August 2008 Melden Teilen Geschrieben 26. August 2008 Hallo, Wir (also die Admins im HQ und damit auch Admins der Hauptdomäne und des Forests) müssen gelegentlich auf Mitgliedsservern der Subdomänen bei Problemen administrativ aktiv werden. Wenn alle Administratoren der Root-Domäne bzw. HQ-Domäne z.B. in einer Globalen Gruppe Mitglied sind, kannst Du diese Gruppe beispielsweise zum Mitglied der lokalen Administratoren der Zieldomänen machen. Dies ist standardmäßig zwangsweise der Fall, da die Gruppe "Domain Admins" eine Globale Gruppe ist. Hierzu eignen sich beispielsweise "Eingeschränkte Gruppen" (siehe Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de oder Restricted Groups Policy Settings: Security Policy) oder einfache Computer Startup Scripts mit dem Aufruf von "net localgroup". Die Frage ist, ob das Sicherheitstechnisch wirklich gewünscht ist. Das müßt Ihr intern entscheiden. In einigen Umgebungen ist das explizit nicht gewünscht - nur können sich die "Enterprise Admins" immer jedes Recht verschaffen. Von daher ist es also eine Frage der Abwägung. Wir haben in den Geschäftsstellen/Subdomänen auch Admins, die auch in der "Domain Admins-Gruppe" der Subdomänen sind und sich dort eigentlich um die Server kümmern. Je nach Aufgabenbereich, der von den lokalen Administratoren übernommen wird, könntet Ihr Euch hier noch eine Einschränkung der Rechte überlegen: Sollte es tatsächlich "nur" um Serververwaltung geben, reichen meist "Server Operatoren" oder "Backup Operatoren" Rechte. Wenn dann zusätzlich noch AD-administrative Aufgaben durchgeführt werden sollen, reicht vielleicht eine Delegierung der Rechte aus und erfordert nicht die Zuweisung von Domänen-Admin Rechten. Aber auch hier gilt es abzuwägen und die Voraussetzungen zu prüfen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.