Harito 10 Geschrieben 1. September 2008 Melden Teilen Geschrieben 1. September 2008 Hallo zusammen, ich benötige einen zweiten Zugang für einen weiteren Admin. Im Prinzip soll er Domänenadmin sein - jedoch darf er nicht auf die Ordner der Geschäftsführung zugreifen. Bin da leider überfragt, wie ich ihm dieses Recht nehmen soll, ohne dass er sich das selber wieder setzen kann!??! Kann man das irgendwie verbieten? Ich könnte auch die Ordner überwachen. Allerdings käme er ja erst mal rein. Hat jemand eine Idee? Gruss Harito Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 1. September 2008 Melden Teilen Geschrieben 1. September 2008 Entweder Dom-Admin oder nicht. Überwachung ist eine Möglichkeit (reinschauen=rausfliegen; das versteht jeder). Wenn es nur um bestimmte Aufgaben ginge, dann könnte man natürlich ein Account entsprechend berechtigen, aber wenn es wirklich Dom-Admin sein soll, dann sehe ich keine Möglichkeit. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 1. September 2008 Melden Teilen Geschrieben 1. September 2008 Servus, Im Prinzip soll er Domänenadmin sein warum? Wenn du ein entsperchendes Rollenkonzept ausarbeitest, muss der Mitarbeiter kein Domänen-Admin sein. Was z.B. die AD-Aufgaben betrifft, kannst du die Objektdelegierung nutzen. Du musst eben erstmal klarstellen, was soll der Kollege alles ausführen können. Yusufs Directory Blog - Objektdelegierungen einrichten Yusufs Directory Blog - Der Objektdelegierungsassistent Kann man das irgendwie verbieten? Er darf kein Domänen-Admin sein, denn ansonsten kann er jederzeit in den Ordner schauen. Oder du nutzt Dritt-Anbiter um diese Verzeichnisse gesondert zu sichern. Zitieren Link zu diesem Kommentar
Harito 10 Geschrieben 1. September 2008 Autor Melden Teilen Geschrieben 1. September 2008 Ich habe mal nachgefragt was er wirklich alles können muss.... Der neue Admin soll neue Konten und Emailpostfächer anlegen können. Ferner sollen die Gruppenzugehörgkeiten (bis auf GF!) verwaltet werden können sowie die Einwahlberechtigungen. Auch sollen die Sharepointberechtigungen bearbeitet werden können. Wie gesagt: der Admin darf auf keinen Fall die Ordner der GFs einsehen oder für diese die Berechtigungen ändern dürfen. Da könnte ich Delegierungen in der AD vornehmen. Aber kann er sich dann nicht ggf. auch höher stufen? Würde ein Kontenoperator da passen? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 1. September 2008 Melden Teilen Geschrieben 1. September 2008 Da könnte ich Delegierungen in der AD vornehmen. Aber kann er sich dann nicht ggf. auch höher stufen? Kann er nicht. Würde ein Kontenoperator da passen? Ist zumindest nicht verkehrt. Mit der Delegierung kannst du eben gezielt auf eine OU die Berechtigungen vergeben. Die Mitglieder der Gruppe Konten-Operatoren können Domänen-Benutzer, Gruppen- und Computerkonten in der Domäne verwalten über alle Container hinweg. Den Mitgliedern ist jedoch nicht möglich, die Gruppen Administratoren oder Domänen-Admins, das Adminkonto oder die Computerkonten der DCs in der OU Domain Controllers zu bearbeiten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.