akkie 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Hallo, ich bräuchte eine Gruppe die auf einem Domänencontroller alles außer bestimmte nachträglich installierte Anwendungen ausführen darf, keinen Zugriff auf das AD hat und keine Berechtigungen für Verzeichnisse ändern darf. Wie würdet ihr das anstellen? Meine Vorgehensweise bis jetzt: Gruppe Service-Admins angelegt. Diese Gruppe ist Mitglied von - DHCP-Administratoren - DnsAdmins - Druck-Operatoren - Ereignisprotokollleser - Netzwerkonfigurations-Operatoren - Remotedesktopbenutzer - Replikations-Operator - Server-Operatoren - Systemmonitorbenutzer Das tut schon mal im groben das was ich möchte. Es gibt jetzt aber Programme wie den Servermanager auf den die Gruppe keine Berechtigungen hat. Kann ich das irgendwie einstellen? Oder gibt es vielleicht einen besseren Weg? Mfg Akkie Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Hi, jeder, der sich an einem DC anmelden kann, hat potentiell auch irgend eine Möglichkeit, Daten der AD zu verändern oder grundsätzliche Änderungen am System vorzunehmen. Das ist also grundsätzlich ein Sicherheitsrisiko. Von daher ist im Normalfall eher davon abzuraten, außer Domänen-Administratoren auch noch andere Benutzer auf einem DC arbeiten zu lassen. Was genau ist denn der Hintergrund für Deine Frage? Was soll erreicht werden? Unter Umständen gibt es ja noch andere Wege zum Ziel. So wie ich das aus Deinen Gruppennamen sehe, kannst Du einige Aufgaben ggf. über Delegierungen auf den Diensten selbst und der Remote-Verwaltung mittels MMC erreichen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.