Ramme 11 Geschrieben 13. Dezember 2016 Melden Teilen Geschrieben 13. Dezember 2016 Hallo, Es geht dabei um eine Farm Terminalserver die alle in einer AD sind, aber für verschiedene Standorte dienen sollen. Jeder Standort soll seine User selbst verwalten können und dazu soll ein Standortadmin angelegt werden, der allerdings nur die User verwalten können soll die in der entsprechenden OU hinterlegt sind. Im Idealfall soll dieser Admin auch nicht mehr sehen, als nur seine OU für die er Admin ist. Ist es möglich, einen solchen User Anzulegen, der sich an einem AD-Server anmeldet und nur die AD-Verwaltung bedienen kann? Gruß Jürgen Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 13. Dezember 2016 Melden Teilen Geschrieben 13. Dezember 2016 Man kann AD Rechte delegieren. Dabei will man aber nicht die anderen OU's ausblenden, wenn dies überhaupt geht. Dieser Admin sollte aber nicht auf einem DC Anmelden um das AD zu verwalten sondern die AD Tools auf einem anderen System starten. Zitieren Link zu diesem Kommentar
Ramme 11 Geschrieben 13. Dezember 2016 Autor Melden Teilen Geschrieben 13. Dezember 2016 Danke für die schnelle Antwort. könen die AD-Tools auf einem Terminalserver gefahrlos laufen? Ausser AD- und Terminalservern ist wohl nichts geplant. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 13. Dezember 2016 Melden Teilen Geschrieben 13. Dezember 2016 Ja. Oder auf dem Arbeitsplatz des Admins (wenn er keinen Thin Client hat). Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Dezember 2016 Melden Teilen Geschrieben 13. Dezember 2016 (bearbeitet) Soll es den wirklich ein "Admin" sein, also in einer Sicherheitsgruppe der Administratoren? Oder doch eher jemand in der Sicherheitsgruppe Kontenoperator? bearbeitet 13. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
Ramme 11 Geschrieben 13. Dezember 2016 Autor Melden Teilen Geschrieben 13. Dezember 2016 Es soll jemand sein, der den zugewiesenen Terminalserver administrieren (Programme installieren und Updaten, Windows-Updates installieren, ...) kann und eben die Benutzer im AD auf "seinem" Terminal verwalten kann. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Dezember 2016 Melden Teilen Geschrieben 13. Dezember 2016 (bearbeitet) Ein Domänen-Benutzer kann auf einem Server Mitgliede r Sicherheitegruppe der lokalen Administratoren sein, damit kann er Programme installieren und Updates durchführen. Ein TS ist i.d.R. kein DC, enthält also kein AD, ist aber selbst Member des AD. Zum Verwalten von Benutzern im AD reicht ein Kontenoperator. Man kann AD Rechte delegieren. ..... Delegation ist der englische Begriff, der deutsche ist ein anderer, fällt mir momentan nicht ein. Ich hab auch keinen Server in Reichweite. Edit Vielleicht Benutzerverwaltung zuweisen oder so ähnlich. ..... könen die AD-Tools auf einem Terminalserver gefahrlos laufen? Ausser AD- und Terminalservern ist wohl nichts geplant. Mir ist nicht klar, was AD-Tools auf einem TS sollen? AD gibt es auf DC, TS ist normalerweise kein DC, dehalb kein AD. ein TS ist ein Memberserver. Oder ist das in diesem speziellen Fall anders? Edit Oder sollen die AD-Tools in einer Terminalsitzung benutzt werden zum Administrieren? bearbeitet 13. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 13. Dezember 2016 Melden Teilen Geschrieben 13. Dezember 2016 Hi, ein Unternehmen mit verschiedenen Standorten, wo der Standort-Admin im AD nur seinen Standort sehen soll? Oder geht es hier in Richtung "Mandanten-Active-Directory" und anstatt Standort wäre Kunde / Mandant der Begriff? Generell kannst du Usern (bzw. besser Gruppen) den Zugriff bzw. das Auflisten verschiedener OUs verweigern und entsprechende Berechtigungen auf andere OUs delegieren (http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/ und http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/). Ich würde dir von einem "Mandantefähigen-AD" pauschal abraten. Updates (Für Windows / Software) würde ich zentral über einen WSUS mit WPP regeln bzw. je nachdem was da am Ende rumkommen soll, per Softwareverteilung entsprechend bereitstellen. Gruß Jan Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 16. Dezember 2016 Melden Teilen Geschrieben 16. Dezember 2016 Ich würde dir von einem "Mandantefähigen-AD" pauschal abraten. Warum? Das funktioniert prima, mit oder ohne List Object Mode :) Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 17. Dezember 2016 Melden Teilen Geschrieben 17. Dezember 2016 Moin, Warum? Das funktioniert prima, mit oder ohne List Object Mode :) naja, wenn wir auf einer so pauschalen Ebene sind, rate ich auch davon ab. :p Man kann da eine Menge machen, aber man kommt schnell an eine Stelle, ab der es sehr aufwändig wird. Und man bewegt sich schnell aus einer vom Hersteller supporteten Konfiguration hinaus. Kommt dann noch Exchange ins Spiel, wird es sogar unbeherrschbar. Aber vielleicht sollten wir, bevor wir solche Dinge überhaupt in den Raum werfen, dann doch noch mal über die Anforderungen sprechen ... Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.