Jump to content

Admin-Rechte nur auf dem lokalen W2k-Server,nicht aber auf dem Server in der Zentrale


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum,

 

haben eine Windows 2000 Server Umgebung (ADS) mit einem zentralen Server und zwei Außenstellen mit jeweils auch einem W2k-Server.

Nun möchte ich, dass je ein User in den Niederlassungen auf dem dortigen Server Admin-Arbeiten (Verzeichnisse freigeben, dortige Nutzer anlegen und löschen, Workstations löschen) durchführen kann, nicht aber hier auf dem Server in der Zentrale.

Hier habe ich an die Gruppe "Server-Operatoren" gedacht, allerdings kann diese Gruppe keine User löschen/anlegen, da Berechtigungen fehlen (Fehlermeldung).

Gibt es eine Gruppe, mit der ich den Zugriff auf dem Server vor Ort zulassen kann, ohne Angst haben zu müssen, dass der User auf meinem Server in der Zentrale "rumflickt"?

 

Anders gesagt: der User soll nur als "lokaler Admin" tätig sein und nur die User im AD, welche vor Ort sitzen, verwalten können, aber keinen Zugriff auf die User in der Zentrale haben.

 

 

Danke für Eure Antworten!!

 

 

Torsten

Link zu diesem Kommentar

Wie ist denn dein AD aufgebaut? Hast du die Niederlassung als OU? Wenn ja, ist es sehr leicht.

 

Was ist das für ein Server in der Niederlassung? Ein Memberserver oder ein AD?

 

Wiso soll er lokal User anlegen/löschen? sind die nicht im AD verwaltet? Das gleiche gilt für die Rechner. Solltest du keine OU´s haben, überleg dir welche einzurichten!

 

FG

 

fLOST

Link zu diesem Kommentar

Hallo FLOST,

 

danke für Deine Antwort!

 

>Wie ist denn dein AD aufgebaut? Hast du die Niederlassung als OU? Wenn ja, ist es sehr leicht.

Die Niederlassungen sind OUs.

 

> Was ist das für ein Server in der Niederlassung? Ein Memberserver oder ein AD?

Der Zentralen-Server ist AD, in der Niederlassung stehen Memberserver

 

>Wiso soll er lokal User anlegen/löschen? sind die nicht im AD verwaltet? Das gleiche gilt für die Rechner.

Der dortige "Admin" soll die User verwalten, die dort vor Ort sitzen (hatte mich vielleicht etwas unverständlich ausgedrückt). Die User vor Ort sind natürlich im AD angelegt, aber ich hätte gerne, dass der "Admin" vor Ort diese User (und nur diese) verwalten kann.

 

Wie stelle ich es an?

 

 

Gruß,

 

 

Torsten

Link zu diesem Kommentar

Hallo Torsten,

 

du kannst deiner rechtne Hand in der Filiale die Verwaltung der OU übertragen. Damit kann er die User anlegen/ändern/löschen.

 

Wenn du ihn per GPO über die eingeschränkten Gruppen als lokalen Admin aud die Kiste(n) in der Lifiale setzt, kann er dort umeinanderfuhrwerken. Benutze mal die boardsuche, das wurde schon des öfteren erklärt bzw. mit Links versehen.

 

Wenn du noch Fragen hast, einfach posten :)

 

FG

 

fLOST

Link zu diesem Kommentar
  • 4 Wochen später...

Hallo fLOST,

 

habe nun schon eine Weile rum probiert und im Board gestöbert, bin aber nicht so recht weiter gekommen:

Was ich möchte, ist folgendes:

Meine "rechte Hand", nennen wir ihn StandortAdmin, soll auf dem Server am Standort, welcher zur Firmendomäne gehört, Admin-Rechte ausüben, also User für diesen Standort anlegen,ändern, löschen sowie Verzeichnisse freigeben, löschen usw. Auf dem DC in der Zentrale soll er jedoch keine Benutzer ädnern können, Verzeichnisse jedoch darf er ändern.

 

Was habe ich gemacht?

 

1. Im AD der Domäne besteht eine OU "Standort2". Hierin sind alle User vor Ort, der Server am Standort 2 und natürlich auch der StandortAdmin enthalten.

2. Nun habe ich für diese OU ein neues Gruppenrichtlinienobjekt GPO "lokalAdminsGPO" erstellt, in dem der StandortAdmin enthalten ist.

3. Unter "Eigenschaften" dieses GPO habe ich unter Sicherheitseinstellungen dem StandortAdmin Vollzugriff gewährt.

Er kann nun zwar Verzeichnisse auf dem lokalen und dem Server in der Zentrale ändern, löschen usw, aber er kann keine User auf dem lokalen Server am Standort bearbeiten.

 

Irgendwo habe ich wohl noch einen Gedankenfehler drin - kannst Du mir hier auf die Sprünge helfen, vielleicht mit einem howto...bin newbie im Bereich AD, daher die vielleicht etwas ****en Fragen...

 

Vielen Dank für Deine Mühe!!!

 

 

Torsten

Link zu diesem Kommentar

1. Im AD der Domäne besteht eine OU "Standort2". Hierin sind alle User vor Ort, der Server am Standort 2 und natürlich auch der StandortAdmin enthalten.

2. Nun habe ich für diese OU ein neues Gruppenrichtlinienobjekt GPO "lokalAdminsGPO" erstellt, in dem der StandortAdmin enthalten ist.

 

gut. nu noch OU übertragen.

 

im AD re- maus auf "Standort2".

Dann "Delegate Control" (im Menü ganz oben)

Wizard durch und gut.

Link zu diesem Kommentar

Hallo styx-tdo,

 

vielen Dank für Deinen Hinweis - nun funktioniert es auch :D

 

Eine Frage habe ich noch: ist es auch möglich, dem Standort-Admin das Recht zur Software-Installation auf dem dortigen Server zu geben, OHNE dass er die Domänen-Admin-Rechte bekommt?

 

Danke im Voraus für Deine Antwort!

 

 

Schönen Gruß,

 

 

Torsten

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...