c.schröder 10 Geschrieben 20. Januar 2009 Melden Teilen Geschrieben 20. Januar 2009 Hallo Leute, ich muss bei einem Kunden das Admin Kennwort ändern. In diesem Zuge wollte ich das ganze mal etwas einfacher gestalten: Administrator für allgemeine Tätigkeiten serviceadmin soll nur Dienste starten können taskadmin soll nur geplante Aufgaben starten können. Nun stellt sich mir aber die Frage, welche minimal Berechtigungen die Benutzer brauchen. Theoretisch nur "Domänen-Benutzer" und dann das Recht sich als Dienst bzw. als Stapelverberarbeitungsauftrag anzumelden. Allerdings kommt es dann scheinbar mit den Berechtigungen auf den jeweiligen Server zu Schwierigkeiten. Zur Situation, es geht um 11 Server von denen 5 DCs sind (2 davon an anderen Standorten). Am Ende soll es so sein, dass das Adminkennwort ohne "nachzudenken" geändert werden kann. :) Gruß, Christian Zitieren Link zu diesem Kommentar
c.schröder 10 Geschrieben 21. Januar 2009 Autor Melden Teilen Geschrieben 21. Januar 2009 gibt es denn evtl. die möglichkeit den benutzern admin rechte zu geben ihnen aber die anmeldung an der domäne bzw. lokal zu verweigern? Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 gibt es denn evtl. die möglichkeit den benutzern admin rechte zu geben ihnen aber die anmeldung an der domäne bzw. lokal zu verweigern? Nein, denn das wäre dann wie: Wasch mich, aber mach mich nicht nass. :) Admin = Admin = Admin. Wenn Du ihnen irgendwelche Rechte entziehst, dann holen sich die User die Rechte wieder. Zitieren Link zu diesem Kommentar
c.schröder 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 hm ok, da hast du wohl recht. auch wenn es dann für "normale" menschen schwer wäre, sich wieder anmelden zu können.. es gibt dann aber ja die möglichkeit, per gpo diese user in die lokalen admins einzubinden. unter gruppenrichtlinien.de wird beschrieben wie die gruppe lokale admins "ersetzt" wird. das heisst einfach überschrieben. ich bin der meinung aber mal gesehen zu haben, dass man einzelne user auch hinzufügen kann, anstatt die gruppe zu überschreiben. weiss jemand zufällig wie das geht? :) vielen dank. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 Zum Beispiel mit einem Script und NET USER ... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Januar 2009 Melden Teilen Geschrieben 26. Januar 2009 Ähm, NET USER ist natürlich Quark ... NET GROUP bzw. NET LOCALGROUP muss es sein ... Zitieren Link zu diesem Kommentar
c.schröder 10 Geschrieben 3. Februar 2009 Autor Melden Teilen Geschrieben 3. Februar 2009 haben es nun übrigens so gelöst (ist das einfachste): ein benutzer namens "serviceadmin" und das kennwort weiss nur der kunde. so muss der kunde zwar ab und an eingreifen, dafür kann aber das kennwort ohne weiteres geändert werden.. Zitieren Link zu diesem Kommentar
Christoph_A4 10 Geschrieben 4. Februar 2009 Melden Teilen Geschrieben 4. Februar 2009 Unabhängig davon, ob das Problem nun gelöst ist oder nicht, auch nach 5-maligen Durchlesen habe ich noch immer nicht wirklich verstanden was du ursprünglich lösen wolltest. Ich hätte gerne versucht dir Alternativen anzubieten, aber Beschreibungen à la "normale Menschen" und "ohne nachzudenken" erschweren das Ganze. Egal, solange die Lösung für dich zufriedenstellend ist, passt das ja. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.