Torsten-S 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Hallo Forum, haben eine Windows 2000 Server Umgebung (ADS) mit einem zentralen Server und zwei Außenstellen mit jeweils auch einem W2k-Server. Nun möchte ich, dass je ein User in den Niederlassungen auf dem dortigen Server Admin-Arbeiten (Verzeichnisse freigeben, dortige Nutzer anlegen und löschen, Workstations löschen) durchführen kann, nicht aber hier auf dem Server in der Zentrale. Hier habe ich an die Gruppe "Server-Operatoren" gedacht, allerdings kann diese Gruppe keine User löschen/anlegen, da Berechtigungen fehlen (Fehlermeldung). Gibt es eine Gruppe, mit der ich den Zugriff auf dem Server vor Ort zulassen kann, ohne Angst haben zu müssen, dass der User auf meinem Server in der Zentrale "rumflickt"? Anders gesagt: der User soll nur als "lokaler Admin" tätig sein und nur die User im AD, welche vor Ort sitzen, verwalten können, aber keinen Zugriff auf die User in der Zentrale haben. Danke für Eure Antworten!! Torsten Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Wie ist denn dein AD aufgebaut? Hast du die Niederlassung als OU? Wenn ja, ist es sehr leicht. Was ist das für ein Server in der Niederlassung? Ein Memberserver oder ein AD? Wiso soll er lokal User anlegen/löschen? sind die nicht im AD verwaltet? Das gleiche gilt für die Rechner. Solltest du keine OU´s haben, überleg dir welche einzurichten! FG fLOST Zitieren Link zu diesem Kommentar
Torsten-S 10 Geschrieben 26. Juli 2005 Autor Melden Teilen Geschrieben 26. Juli 2005 Hallo FLOST, danke für Deine Antwort! >Wie ist denn dein AD aufgebaut? Hast du die Niederlassung als OU? Wenn ja, ist es sehr leicht. Die Niederlassungen sind OUs. > Was ist das für ein Server in der Niederlassung? Ein Memberserver oder ein AD? Der Zentralen-Server ist AD, in der Niederlassung stehen Memberserver >Wiso soll er lokal User anlegen/löschen? sind die nicht im AD verwaltet? Das gleiche gilt für die Rechner. Der dortige "Admin" soll die User verwalten, die dort vor Ort sitzen (hatte mich vielleicht etwas unverständlich ausgedrückt). Die User vor Ort sind natürlich im AD angelegt, aber ich hätte gerne, dass der "Admin" vor Ort diese User (und nur diese) verwalten kann. Wie stelle ich es an? Gruß, Torsten Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Hallo Torsten, du kannst deiner rechtne Hand in der Filiale die Verwaltung der OU übertragen. Damit kann er die User anlegen/ändern/löschen. Wenn du ihn per GPO über die eingeschränkten Gruppen als lokalen Admin aud die Kiste(n) in der Lifiale setzt, kann er dort umeinanderfuhrwerken. Benutze mal die boardsuche, das wurde schon des öfteren erklärt bzw. mit Links versehen. Wenn du noch Fragen hast, einfach posten :) FG fLOST Zitieren Link zu diesem Kommentar
Torsten-S 10 Geschrieben 18. August 2005 Autor Melden Teilen Geschrieben 18. August 2005 Hallo fLOST, habe nun schon eine Weile rum probiert und im Board gestöbert, bin aber nicht so recht weiter gekommen: Was ich möchte, ist folgendes: Meine "rechte Hand", nennen wir ihn StandortAdmin, soll auf dem Server am Standort, welcher zur Firmendomäne gehört, Admin-Rechte ausüben, also User für diesen Standort anlegen,ändern, löschen sowie Verzeichnisse freigeben, löschen usw. Auf dem DC in der Zentrale soll er jedoch keine Benutzer ädnern können, Verzeichnisse jedoch darf er ändern. Was habe ich gemacht? 1. Im AD der Domäne besteht eine OU "Standort2". Hierin sind alle User vor Ort, der Server am Standort 2 und natürlich auch der StandortAdmin enthalten. 2. Nun habe ich für diese OU ein neues Gruppenrichtlinienobjekt GPO "lokalAdminsGPO" erstellt, in dem der StandortAdmin enthalten ist. 3. Unter "Eigenschaften" dieses GPO habe ich unter Sicherheitseinstellungen dem StandortAdmin Vollzugriff gewährt. Er kann nun zwar Verzeichnisse auf dem lokalen und dem Server in der Zentrale ändern, löschen usw, aber er kann keine User auf dem lokalen Server am Standort bearbeiten. Irgendwo habe ich wohl noch einen Gedankenfehler drin - kannst Du mir hier auf die Sprünge helfen, vielleicht mit einem howto...bin newbie im Bereich AD, daher die vielleicht etwas ****en Fragen... Vielen Dank für Deine Mühe!!! Torsten Zitieren Link zu diesem Kommentar
styx-tdo 10 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 1. Im AD der Domäne besteht eine OU "Standort2". Hierin sind alle User vor Ort, der Server am Standort 2 und natürlich auch der StandortAdmin enthalten. 2. Nun habe ich für diese OU ein neues Gruppenrichtlinienobjekt GPO "lokalAdminsGPO" erstellt, in dem der StandortAdmin enthalten ist. gut. nu noch OU übertragen. im AD re- maus auf "Standort2". Dann "Delegate Control" (im Menü ganz oben) Wizard durch und gut. Zitieren Link zu diesem Kommentar
Torsten-S 10 Geschrieben 23. August 2005 Autor Melden Teilen Geschrieben 23. August 2005 Hallo styx-tdo, vielen Dank für Deinen Hinweis - nun funktioniert es auch :D Eine Frage habe ich noch: ist es auch möglich, dem Standort-Admin das Recht zur Software-Installation auf dem dortigen Server zu geben, OHNE dass er die Domänen-Admin-Rechte bekommt? Danke im Voraus für Deine Antwort! Schönen Gruß, Torsten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.