nbambou 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Hallo, ich habe mir einen untergeordneten Admin erstellt, der eine Organisationseinheit verwalten soll. In der Gruppenrichtlinie habe ich angegeben, dass er sich an dem in der Organisationseinheit stehenden SBS Server lokal anmelden kann. Das funzt auch soweit. Wenn dann aber die Serververwaltungskonsole gestartet wird, kommt die Meldung, dass diese nicht ausgeführt werden kann, weil der Benutzer dafür Domänen Admin oder Domain Power User sein muss. Also den Benutzer flugs in die Domain Power User gesteckt, und siehe da, jetzt kann er sich nicht mehr lokal anmelden, weil die lokale Richtlinie das angeblich verbietet. Wenn ich ihn aus der Gruppe wieder entferne geht die Anmeldung wieder. Was tun? Grüße Nick Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Dann wird der entsprechenden Gruppe wahrscheinlich das Recht "Lokale Anmeldung verweigern" zugewiesen und verweigern kommt (in den meisten Fällen) vor erlauben ... Und warum soll sich der User lokal an dem Server anmelden ? Konfiguriere ihm doch eine benutzerdefinierte MMC-Konsole und er macht das von seinem Arbeitsplatz aus ... Zitieren Link zu diesem Kommentar
nbambou 10 Geschrieben 6. Juli 2006 Autor Melden Teilen Geschrieben 6. Juli 2006 Nein, hab ich natürlich nachgeschaut. Die Gruppe steht nicht unter "Lokale Anmeldung verweigern". Weil es nun mal auch Sachen gibt die Du nicht mit der MMC-Konsole erledigen kannst. Nick Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Zum Beispiel ? Welcher Gruppe gehört der User denn noch an ? Führe mal einen Richtlinienergebnissatz aus für diesen User aus ... edit: Mitgliedern dieser Gruppe ist das Benutzerrecht "Lokale Anmeldung verweigern" indirekt zugewiesen. Diese Gruppe ist Mitglied der Gruppe Remote Operators, denen die lokale Anmeldung verweigert wird. Die Gruppe Remote Operators ist Mitglied der Gruppe Remotedesktopbenutzer, daher können Deine Domain Power Users den Server via RDP verwalten (was auch in der Beschreibung der Gruppe steht) , und das ist wie lokal ... Zitieren Link zu diesem Kommentar
nbambou 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Zum Beispiel lokale Installationen am Server durchführen. Ich will Admins erstellen, die das können ohne gleichzeitig Domänen Admins zu sein, weil Sie als Domänen Admins auch Zugriff auf Server in anderen OUs hätten. Das mit den "verschachtelten" Gruppen schau ich mir mal an. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Lokale Installationen kann er auch über eine RDP-Sitzung machen und muss sich dafür nicht lokal anmelden. Es ist ja immer besser, so wenig wie möglich an Privilegien zu verteilen und wenn man die geforderten Arbeiten auch so durchführen kann ... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.