Mustermann 10 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Guten Tag, ich möchte bei mir auf dem Server untergeordnete Administratoren einrichten. Ich habe eine Domäne (testfirma.local und zwei Standorte zum testen eingerichtet (Köln und Berlin). Ich möchte nun einen untergeordneten Administrator der alles in Köln darf, jedoch keine rechte in Berlin hat und dasselbe umgekehrt mit Berlin und Köln. Zum testen hab ich auch eine OU namens TEST1 mit dem Benutzen adminfake1 in Köln eingerichtet und für Berlin eine OU namens TEST2 mit dem Benutzer adminfake2 eingerichtet. Jedoch komme ich so nicht mehr weiter und weis nicht wie ich die Gruppenrechtlinien einstellen muss Der DC befindet sich in Köln, der Server in Berlin. Ich bedanke mich bei Ihnen im Voraus. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Hallo und Willkommen im Board :) ich verschiebe den mal nach Windows-Allgemein, hat ja nichts mit MCSE zu tun. Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC? grizzly999 Zitieren Link zu diesem Kommentar
Mustermann 10 Geschrieben 16. Mai 2006 Autor Melden Teilen Geschrieben 16. Mai 2006 Ja beide SRV sind DC, was ich vergessen hab zu erwähnen ist, dass eines der Server ein SBS ist. Es tut mir leid das der post an der falschen stelle war. Vielen dank Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Dann wird das wohl nichts. Du kannst über Benutzerrechte und Berechtigungen Gruppen für bestimmte Ressourcen (z.B. Server-Operatoren oder Druck-Operatoren) vergeben, aber einen "eingeschränkten" Admin gibt es da nicht. grizzly999 Zitieren Link zu diesem Kommentar
Mustermann 10 Geschrieben 16. Mai 2006 Autor Melden Teilen Geschrieben 16. Mai 2006 ich habe mir jez im Buch Windows Server 2003 Von Mark Bla bla (will jez keine werbung machen) folgendes gelesen: -Einrichtung einer Domäne namens navy.mil -Innerhalb der navy.mil wird eine OU namens Norfolk-Admins und eine weitere namens San Diego-Admins angelegt. Benutzerkonten werden angelegt und die Administrator in die richtige Gruppe gestellt, je nachdem ob sie in San Diego oder Norfolk sitzen. -Zum Schluß erhält die Gruppe der San Diego Admins die komplette Kontrolle über die San Diego-OU und die Norfolk-Admins-Gruppe die komplette über die Norfolk-OU. So genau will ich es auch bei mir mit meinem zwei servern erstellen, ich selber glaube jedoch nicht das es, dass szenario beeinträchtigt, wenn ich zwei DC habe oder wenn es sich bei einem der SRV um einen SBS handelt. Sicher bin ich mir jedoch nicht. Vielen Dank für deine Hilfe Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Das geht schon so, dann kann derAdmin in "norfolk2 (oder was auch immer) in der OU alles tun, Benutzer anlegen und verwalten, Gruppen anlegen und verwalten, Computerkonten ......, Richtlinienverknüpfungen vornehmen (Keine Richtlinien erstellen!). Aber du hast oben geschrieben: Ich möchte nun einen untergeordneten Administrator der alles in Köln darf, jedoch keine rechte in Berlin hat es ist eben die Fragen wie genau du den Terminus "alles darf" definiertst. Wenn darunter nur die Verwaltung der OAD-bjekte der OU Köln fällt, ok. Mehr leistet das von dir zitierte Vorgehen nicht. Ich persönlich habe unter "alles" noch etwas mehr verstanden. grizzly999 Zitieren Link zu diesem Kommentar
nbambou 10 Geschrieben 18. Mai 2006 Melden Teilen Geschrieben 18. Mai 2006 @grizzly999 Zitat: grizzly999: Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC? Mustermann: Ja beide SRV sind DC, was ich vergessen hab zu erwähnen ist, dass eines der Server ein SBS ist. grizzly999: Dann wird das wohl nichts. Dem entnehme ich, dass es anders schon was geben könnte? Macht es einen Unterschied, ob der andere Mitgliedsserver ist oder auch DC? Gibt es denn keine Möglichkeit zwei Standorte/ Domänen (oder was auch immer...) zu haben um damit das gewünschte Verhalten zu erreichen - Sprich: Admins für Standort A die an Standort A die komplette Verwaltung inne haben aber eben nix in Standort B dürfen und umgekehrt? Grüße Nick Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. Mai 2006 Melden Teilen Geschrieben 18. Mai 2006 Wir hängen da immer noch an dem Wort "Alles". Verstehst du unter "Alles" wirklich alles, von der Benutzerverwaltung im AD über DHCP einrichten und authorisieren, weiter bei Standorten im AD einrichten bis hin zur Treiberinstallation und Plattenformartierung, etc. pp. ?! Und der eine soll das können für sienen Standort und der andere dort gar nichts (und umgekehrt). Oder gibt es eine zentrale IT, die da drüber steht? oder wie sieht das denn aus? Ich kann dir nichts weiter sagen. Um etwas zu sagen, was geht und was nicht, braucht man Inforamtionen, Informationen und Informationen. Saubere, konkrete Anforderungen gehören selbstverständlich auch dazu. Im Nebel stochere ich nicht herum. :wink2: grizzly999 Zitieren Link zu diesem Kommentar
nbambou 10 Geschrieben 19. Mai 2006 Melden Teilen Geschrieben 19. Mai 2006 Hallo grizzly999, ich will mal versuchen die Anforderung zu definieren: 1. Es gibt eine Domäne mit zwei oder mehr Standorten. 2. An Standort A gibt es einen SBS 2003 3. An Standort B gibt es einen Standard 2003er der auch als DC eingerichtet wird. 4. Die Standorte sind per VPN miteinander verbunden (spielt eine untergeordnete Rolle, nur der Vollständigkeitshalber) 5. An jedem Standort gibt es jeweils x Windows XP Clients 6. Es existiert natürlich ein übergeordneter Admin (wie sollten sonst auch die Standorte eingerichtet werden) 7. An Standort A soll es einen Admin geben der "Alles" darf an Standort A und "Nix" an Standort B. Der Admin an Standort B darf "Alles" an Standort B und (muss aber nicht) "Alles" an Standort A. So, nun hab ich begriffen, dass dieses "Alles" so nicht geht. Für uns entscheidend wäre jetzt zu wissen wie nah wir an dieses "Alles" rankommen. Es wäre zwingend erforderlich, dass der Admin A am Standort A folgendes kann: - Benutzer verwalten (AD, Exchange, etc.) - im Idealfall auch Gruppenrichtlinien verwalten - Installationen vornehmen (Software, Treiber) - Dienste starten/ stoppen Admin B entweder analog zu Admin A, oder eben echt Alles. Admin A soll standardmäßig keinerlei Zugriffe auf Freigaben des Standort B haben (auch nicht auf administrative). Auf Freigaben von Standort A soll er standardmäßig ebenfalls keinen Zugriff haben, würde aber ggf. manuell Rechte erhalten. Bei mehreren Admin A's soll es welche geben die sich lokal als Admins anmelden können, und welche die das nicht können. Auf jeden Fall muss es einen Admin A geben, der sich am Server im Standort A anmelden kann. Wenn Du mir dazu eine Lektüre empfehlen kannst, wäre ich Dir auch schon dankbar. Für eine umfassende Antwort küsse ich Dir bei nächster Gelegenheit sogar die Füße. :D Grüße Nick Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 19. Mai 2006 Melden Teilen Geschrieben 19. Mai 2006 Das mit den Füssen küssen, da warten wir, bis Waschtag ist :D Deine Anforderungen lassen sich so nicht machen. Das Problem ist, dass ein "lokaler " Admin (gemeint ist hier ein Mitglied der Domänenlokalen Gruppe Administratoren im AD) auf allen DCs erstmal alles darf und sich selber dann auch zum Domänen-Admin oder mehr machen kann. Die Lösung würde hier nur in getrennten Domänen liegen, am besten sogar getrennte Forests. mit dem SBS tut man sich da jedoch schwer. grizzly999 Zitieren Link zu diesem Kommentar
nbambou 10 Geschrieben 19. Mai 2006 Melden Teilen Geschrieben 19. Mai 2006 Wie weit würden sich diese Anforderungen denn machen lassen? Also welche gehen über die OU's und welche nicht? Ich frage, weil Mark Minasi in seinem Buch Windows Server 2003 eben so etwas in der Art beschreibt. Nick Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.