User Rechte in OU-Gruppenrichtlinie

[dossi84 10]

Hallo,

 

ich hab auf einem 2k-Server verschiedene OU's eingerichtet. Ich möchte nun einzelnen Usern in einer bestimmten OU Admin-Rechte geben.

 

Wie kann ich das über die Gruppenrichtlinie bewältigen?

 

Danke für eure Hilfe

[gysinma1 13]

Hallo

 

Da gibt es zwei Möglichkeiten. Eine kompliziertere über Gruppenrichtlinien oder mit Delegate Control in der AD.

 

Wichtig erscheint mir, dass eine DomainGlobalGroup als berechtigt definiert wird und nicht einzelne Benutzer. Denn dann kannst Du die entsprechenden Leutchen nur noch in diese Gruppe aufnehmen.

 

Variante1:

Du machst pro OU eine DomainGlobalGroup.

Im gpedit.msc der OU gehtst Du hin, dass in allen Compis die obige GlobalGroup als LocalAdmins eingetragen werden. Damit hast Du Adminrechte bei den PCs jedoch nicht innerhalb der Domain.

 

Variante2:

Du verwendest delegate Control in der AD und gibt der DomainGlobalGroup das Recht innerhalb der OU Administrativ zu "wüten". Die Benutzer können die OU Administrieren haben aber keine Rechte auf der Clientseite (es seiu denn es seien domainadmins).

 

Vermutlich, denke ich mal, wirst Du beides machen müssen...

 

Weil nur der DomainAdmin bei dem Joining Vorgang als LocalAdmin hinzugefügt wird, ändert das DelegateControl nix auf der Clientseite. Wichtig erscheint mir noch, dass dies alles nur mit Win2000/XP/2003 geht.

 

 

Gruss,

 

Matthias

[dossi84 10]

Danke erstmal für deine Antwort.

 

Wenn ich ehrlich bin, hab ich es noch nicht so recht verstanden.

Gibt es das auch in einer (für mich) etwas verständlicheren Version?

[gysinma1 13]

Hallo

 

Original geschrieben von dossi84

 

 

Wenn ich ehrlich bin, hab ich es noch nicht so recht verstanden.

Gibt es das auch in einer (für mich) etwas verständlicheren Version?

 

Was willst Du genau machen ? Andere Leute als lokale Administratoren, dass diese SW installieren dürfen (z.Bsp.) oder andere Leute, die z.Bsp. Passwörter in der Domain entlocken können ...

 

 

Gruss,

 

Matthias

[dossi84 10]

Ich möchte den Usern in der OU Admin-Rechte geben (SW installieren, Freigaben erstellen ... )für einen bestimmten Zeitraum.

Im Moment hab ich die User der Gruppe "domänen-admins", was natürlich nicht so praktikabel ist.

[dossi84 10]

Im gpedit.msc der OU gehtst Du hin, dass in allen Compis die obige GlobalGroup als LocalAdmins eingetragen werden.

 

Das scheint mir doch die Lösung zu sein. Nur hab ich den Ablauf noch nicht so recht verstanden.

[kobalt 10]

Hallo dossi84,

 

wenn Du nach MS Richtlinie vorgehen willst (nicht zwingend nötig ;) ) machst Du folgendes:

 

- Erstelle eine globale Gruppe (z.B. "G LokaleAdmins"). In welcher OU ist egal

- Füge alle Benutzerkonten, die Admins sein sollen, als Mitglieder zur Gruppe hinzu

- Erstelle eine domänenlokale Gruppe (z.B. "DL LokaleAdminrechte"), auch wieder egal wo

- Füge der DL-Gruppe die globale Gruppe als Mitglied hinzu

- Füge auf den einzelnen Rechnern die DL-Gruppe der Gruppe der Administratoren hinzu

 

Die Vorgehensweise entspricht dem "AGDLP"-Prinzip von MS. Wenn Du nur eine Domäne hast, kannst Du auf die DL-Gruppe natürlich auch verzichten und gleich die globale Gruppe in die Gruppe der (lokalen) Admininstratoren aufnehmen.

 

Im gpedit.msc der OU gehtst Du hin, dass in allen Compis die obige GlobalGroup als LocalAdmins eingetragen werden.

Diese Möglichkeit kenne ich leider nicht. Wie lautet denn der Pfad zu dieser Richtlinie?

 

Gruß kobalt

[dossi84 10]

hat geklappt!

 

dankeschön