Septercore 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Hallo zusammen. Ich habe eine Organisational Unit Namens Developer. Die sollen alle Lokale Admins sein. Nun haben wir auch eine Global Group GG_ClientsLocalAdmin. Also die Globale Gruppe der lokalen Admins. In dieser sich die OU Developer befindet. Ich habe nun auf dem DC im Builtin die GG_ClientsLocalAdmin gefunden. Gehört die den da hin? Somit wären ja alle Members der GG_ClientsLocalAdmin Domän Admins und das ist ungewollt. Sie könnten somit auf den DCs rumturnen und Unfug machen. Wird das nicht über Restricted Groups gemacht und einer Policy? Grüsse Septercore Zitieren Link zu diesem Kommentar
Septercore 10 Geschrieben 28. Februar 2006 Autor Melden Teilen Geschrieben 28. Februar 2006 Keiner eine Idee wegen Builtin? Ist das Domänenweit die Local Group oder die vom DC? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Ich habe eine Organisational Unit Namens Developer. Ok... Die sollen alle Lokale Admins sein Du meinst die ganzen Benutzerkonten in der OU, vermute ich mal?! Nun haben wir auch eine Global Group GG_ClientsLocalAdmin. Ok... Also die Globale Gruppe der lokalen Admins Du meinst, die sollen es mal werden, also diese Gruppe Mitglied in jeder lokalen Administratorengruppe auf einem Client?! In dieser sich die OU Developer befindet Da hst du dich wohl falsch ausgedrückt. Eine OU kann nicht Mitglied einer Gruppe sein. Du meinst wohl wieder die Benutzerkonten, welche in der OU sind, sollen Mitglied der Gruppe sein, oder sind bereits Mitglied?! Ich habe nun auf dem DC im Builtin die GG_ClientsLocalAdmin gefunden Aha.... Gehört die den da hin? Keine Ahnung, irgendwer hat die Gruppe wohl dort erstellt oder hin verschoben. Von alleine ist da nicht hingekommen :D Somit wären ja alle Members der GG_ClientsLocalAdmin Domän Admins und das ist ungewollt Dem ist garantiert nicht so. Wie kommst du darauf? Sie könnten somit auf den DCs rumturnen und Unfug machen Wenn sie Domänen-Admins wären ja, aber .... siehe eine Antwort weiter oben. Wird das nicht über Restricted Groups gemacht und einer Policy? Wenn du damit meinst, dass die GG_ClientsLocalAdmin auf den Clients lokale Adminrechte erhalten soll. ja, da wäre das die einfachste und schnellste Lösung. Auch Grüße grizzly999 Zitieren Link zu diesem Kommentar
Septercore 10 Geschrieben 2. März 2006 Autor Melden Teilen Geschrieben 2. März 2006 Ok also wenn die Developer, die in einer OU sind und diese in der GG_CLientsLocalAdmin existent ist, diese in der AD in BuiltIn unter Administratoren liegt, sind diese dann berechtigt auf den DC rumzuturnen? Sie sind aber nicht Domainadmins. Der Enterprise Admin und die Domainadmins sind Member der /BuiltIn/Administrators Also falsch ausgedrückt nun Richtig, wären die Devs lokale Admins auch auf den Servern incl. DC richtig? Ansonsten danke Ich Dir für die Antwort. Kaum fragt man jemanden der sich damit auskennt. ^^ Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 2. März 2006 Melden Teilen Geschrieben 2. März 2006 Ok also wenn die Developer, die in einer OU sind und diese in der GG_CLientsLocalAdmin existent ist, diese in der AD in BuiltIn unter Administratoren liegt, sind diese dann berechtigt auf den DC rumzuturnen? Nein. Nur dadurch , dass eine Gruppe in irgendeiner OU bzw. einem Container liegt (hier der Container BuiliIn), bekommt sie keinerlei Rechte oder Berechtigungen. Also falsch ausgedrückt nun Richtig, wären die Devs lokale Admins auch auf den Servern incl. DC richtig? Nein, dazu müssen sie Mitglied der lokalen Administratorengruppe sein, entweder im AD\Conatiner Builtin oder für lokale Adminrechte auf dem/den Rechner(n) in der dortigen lokalen Administratorengruppe. Siehe oben. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.