SteGab 10 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Hallo zusammen, wir haben in der Firma ca. 40 Clients. Zu meiner Unterstützung soll ich nun einem Mitarbeiter einen Teil meiner IT Tätigkeiten abgeben. Da der Kollege bisher mit IT nur sehr begrenzt zu tun hatte, möchte ich diesem eigentlich erstmal nur Zugriff auf alle Clients geben, aber nicht auf die Server. Gibt es eine Gruppe (lokaler Admin möchte ich nicht nutzen) die nur Administrativen Zugriff auf alle Domain-Clients hat aber keinen Zugriff auf die Server. Ich möchte nur ungern alle Clients anfassen... Grüße und Danke Zitieren Link zu diesem Kommentar
Timsk 11 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Hi, wenn Ihr ein Active Directory habt kannst du das doch per GPO realisieren, ansonsten wird es schwer werden wenn du die lokale Admin Gruppe meiden möchtest, die ist nämlich dafür da! Viele Grüße! Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Du kannst ihr per GPO in den Gruppe der Lokalen Admins verfrachten, bei der Sicherheitsfilterung der Gruppe trägst Du nur die Domain-Clients ein, die Server bleiben aussen vor. Aber Achtung! Admin ist Admin ist Admin. Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Erstell doch einfach eine neue Gruppe für Ihn. Dann kannst du dies auch nach und nach von den Berechtigungen erweiteren. Zitieren Link zu diesem Kommentar
SteGab 10 Geschrieben 25. April 2013 Autor Melden Teilen Geschrieben 25. April 2013 Danke für die Antworten! @nawas: Eine neue Grupe zu erstellen würde vermutlich heißen, dass man diese aber wieder auf allen clients anlegen muss, gemau so wie wenn ich ihn in die Gruppe der lokalen Admins lege oder? Dann muss ich jeden Client anfassen... @Sunny61: Das wird vermutlich mein Weg werden, ich lege Ihn per GPO in die Gruppde der Admins und erlaube diese GPO nur von Clients übernommen zu werden. Das muss ich mir mal genauer ansehen. @Timsk: Die Gruppe der lokalen Administratoren wäre schon ok, aber dann muss ich das ja entweder über eine mmc auf alle clients gehen oder gibts da nen anderen weg? Sonst denke ich wird der Weg über die GPO einfacher sein... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 (bearbeitet) @Timsk: Die Gruppe der lokalen Administratoren wäre schon ok, aber dann muss ich das ja entweder über eine mmc auf alle clients gehen oder gibts da nen anderen weg? Sonst denke ich wird der Weg über die GPO einfacher sein... Hallo, mit der GPO Eingeschränkte Gruppen kann das Konto des Kollegen der Gruppe der lokalen Administrator auf den Clients hinzugefügt werden. bearbeitet 25. April 2013 von lefg Zitieren Link zu diesem Kommentar
SteGab 10 Geschrieben 25. April 2013 Autor Melden Teilen Geschrieben 25. April 2013 Genau, es wird wohl auf die GPO hinauslaufen... Danke euch allen :-) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Gerne geschehen Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Genau, es wird wohl auf die GPO hinauslaufen... Ja was denn sonst? Bye Norbert @Sunny61: Das wird vermutlich mein Weg werden, ich lege Ihn per GPO in die Gruppde der Admins und erlaube diese GPO nur von Clients übernommen zu werden. Das muss ich mir mal genauer ansehen. Anstatt da was zu erlauben, solltest du deine OU Struktur so bauen, dass du das GPO nur an die OU bindest, in der sich die PCs befinden. ;) @Timsk: Die Gruppe der lokalen Administratoren wäre schon ok, aber dann muss ich das ja entweder über eine mmc auf alle clients gehen oder gibts da nen anderen weg? Sonst denke ich wird der Weg über die GPO einfacher sein... Natürlich gibt's nur den einfachen Weg über die GPOs. Entweder eingeschränkte Gruppen oder GPPs. Ich versteh nicht, was du sonst noch brauchst. Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Genau, es wird wohl auf die GPO hinauslaufen... Falls dir GPP möglich, dann schaue es dir an!; mir erscheint es per GPP besser, einfacher handhabbar als per GPO. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Anstatt da was zu erlauben, solltest du deine OU Struktur so bauen, dass du das GPO nur an die OU bindest, in der sich die PCs befinden. ;) Wenn er den Benutzer nur vereinzelte PCs administrieren lassen will, und ansonsten aber ihn nicht als Admin eingetragen haben möchte, dann würde ich das mit der Gruppe den OUs vorziehen. ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Hallo, Das hört sich so an, als ob du mit einer DomainAdminkennung eure Userclients/ Server und DCs administrierst. Das wäre securitytechnisch ein ganz schlechtes Konzept, da kannst du fast dein Adminpasswort auf ein PostIt schreiben und an den Bildschirm des Clients kleben. Getrennte Accounts für Clients und Server/DCs solltest du daher nicht nur deiner Aushilfe geben, sondern auch dir selbst. blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.