Pilba 10 Geschrieben 19. August 2014 Melden Teilen Geschrieben 19. August 2014 Hallo zusammen, wir haben in unserer Umgebung mehrere DCs stehen und in den einzelnen Standorten lokale Admins die angepasste Rechte haben um User und Computer über die dsa.msc zu editieren. Wir würden gerne - aus fimenpolitischen Gründen - Einschränken, die MMC sich nur noch mit einem Server verbinden kann und dort User angelegt, Editiert etc. werden können. Eine Arbeitsanweisung bringt leider nicht den gewünschten Erfolg. Daher mal hier die Frage an die Spezialisten, ob man das per Policy/Firewall-Regel etc. einschränken kann, dass die dsa.msc von einem Windows7 Client nur noch mit 1 dediziertem Server spricht und nicht mehr mit dem Logonserver. Da die User in der Fläche nicht Domain Admins sind, sondern angepasste Rechte haben können diese sich nicht direkt am DC Anmelden und lokal die dsa.msc öffnen. Ich hoffe mein Anliegen ist verständlich rübergekommen. Grüße, Pilba Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. August 2014 Melden Teilen Geschrieben 19. August 2014 (bearbeitet) Darf ich fragen, was das bringen soll? Die Daten werden doch hinterher eh repliziert. Da ist egal, gegen welchen DC die Änderung erfolgt. Wie der User lokal das.msc starten darf spielt keine Rolle. Er braucht dazu ganz sicher keine lokalen Adminrechte. Die Änderungen in der Domäne erfolgen mit den jeweiligen Domänen-Konto. Und ja, man kann einzelnen Usern sogar auf OU's beschränkt, entsprechende Rechte erteilen ohne dass der User dann Domänen-Admin ist. Edit: Wenn es verschiedene Standorte sind, müsstest Du Dein AD in Standorte aufteilen. Wenn das richtig funktioniert, wird DSA.MSC auch den lokalen DC verwenden. bearbeitet 19. August 2014 von zahni Zitieren Link zu diesem Kommentar
Pilba 10 Geschrieben 19. August 2014 Autor Melden Teilen Geschrieben 19. August 2014 Hallo Zahni, ist eine politische Sache, es soll nur noch auf 1 DC Administriert werden - warum wird nicht öffentlich Diskutiert. Unser AD ist in Standorte Aufgeteilt, Funktioniert auch alles Super, Replizierung soll auch weiter erfolgen und tut es auch. dsa.msc soll halt nicht den lokalen DC nutzen, sondern IMMER einen definierten DC. User berechtigung auf OUs etc. ist alles erfolgt und funktioniert seit Jahren ohne Probleme. Es geht halt nur ums Administrieren, die User sich zum Administrieren auf einen bestimmten DC verbinden. Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 19. August 2014 Melden Teilen Geschrieben 19. August 2014 Hi, was machst du denn wenn genau dieser DC (temporär) offlne ist oder sonstige Probleme hat? Gruß Jan Zitieren Link zu diesem Kommentar
Pilba 10 Geschrieben 19. August 2014 Autor Melden Teilen Geschrieben 19. August 2014 Hi, Kurzum: Pech haben. Mich als Domain Admin auf nen anderen DC schalten... nen 2. DC nutzen den ich dafür konfiguriere, dass der Zugriff auf 2 DCs möglich ist, aber auf die anderen 30 Stk nicht... Zielkonstrukt wäre: Domain Admins haben zugriff auf alle DCs zum Administrieren. Andere Administratoren nur auf 1-2 Domain-Controller... Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. August 2014 Melden Teilen Geschrieben 19. August 2014 (bearbeitet) Ich diese Betriebsart ist IHMO nicht vorgesehen, da sie aus AD-Sicht keinen Sinn macht. Wenn das nicht möchtest, musst Du die Firewall, z.B. im Windows-Server entsprechend konfigurieren. Allerdings wirst Du die Funktion "anmelden" an einen DC und "User anlegen" nicht voneinander trennen können. D.H. jeweilige PC kann sich dann nur noch über den einen zentralen DC authentifizieren (wenn er ihn den findet. Das wird eher auf Fehlermeldungen hinauslaufen). Eventuell geht was über den http://technet.microsoft.com/de-de/library/cc771234(v=ws.10).aspx . Leider kenne ich mich mit dem "Monster" nicht aus Edit: Mir fällt eigentlich nur ein Grund ein, warum das zentralisieren sollte. Die Securtiy-Events auf den DC. Falls es darum geht, seit Ihr eventuell besser beraten ein passendes identity Management System einzuführen. Solche Systeme können alle Aktionen entsprechend der Anforderungen ausführen und protokollieren. Ohne dass der jeweilige User irgendwelche Rechte im AD braucht. bearbeitet 19. August 2014 von zahni Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 19. August 2014 Melden Teilen Geschrieben 19. August 2014 Hi, Eventuell geht was über den http://technet.microsoft.com/de-de/library/cc771234(v=ws.10).aspx . Leider kenne ich mich mit dem "Monster" nicht aus RMS ist doch eher ein Rechtemanagement auf Dateiebene bzw. zur Vorbeugung von Missbracuh/Diebstahl. http://blogs.technet.com/b/rms/archive/2013/07/31/the-new-microsoft-rights-management-services-whitepaper.aspx http://en.wikipedia.org/wiki/Active_Directory_Rights_Management_Services Gruß Jan Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 19. August 2014 Melden Teilen Geschrieben 19. August 2014 Moin, es ist völlig korrekt: Das geht nicht, Ist nicht vorgesehen, weil technisch nicht sinnvoll. Alle denkbaren Workarounds werden da auch nicht ernsthaft etwas bringen. Wenn ein User Zugriffsrechte auf das AD hat, dann kann er die von einem beliebigen Domänen-Rechner aus wahrnehmen. Genau das ist die Idee des AD. Gruß, Nils Zitieren Link zu diesem Kommentar
Pilba 10 Geschrieben 20. August 2014 Autor Melden Teilen Geschrieben 20. August 2014 Moin, danke für die Infos. Grüße, Pilba Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.