8
AD Zugriff für nicht Domänen Admins
Hallo zusammen,
folgende Frage: Was mache ich falsch ;D
Ziel ist es für das 1st Level einen AD Account zu haben, der nur Userobjekte verwalten darf (anlegen, löschen, editieren, Passwörter, Mitgliedschaften etc.).
Das das über Delegation funktioniert weiß ich, habe das auch früher schon einmal gemacht, nur habe ich wohl irgendwo etwas vergessen.
Wenn der Benutzer sich per RDP auf dem DC anmeldet und das Active Directory starten will, kommt die Benutzer und Passwort Eingabe und ich weiß gerade nicht wieso?
Jemand einen Tipp?
Viele Grüße,
Ofod
folgende Frage: Was mache ich falsch ;D
Ziel ist es für das 1st Level einen AD Account zu haben, der nur Userobjekte verwalten darf (anlegen, löschen, editieren, Passwörter, Mitgliedschaften etc.).
Das das über Delegation funktioniert weiß ich, habe das auch früher schon einmal gemacht, nur habe ich wohl irgendwo etwas vergessen.
Wenn der Benutzer sich per RDP auf dem DC anmeldet und das Active Directory starten will, kommt die Benutzer und Passwort Eingabe und ich weiß gerade nicht wieso?
Jemand einen Tipp?
Viele Grüße,
Ofod
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355732
Url: https://administrator.de/contentid/355732
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
lg,
Slainte
Wenn der Benutzer sich per RDP auf dem DC anmeldet
Der Benutzer, auch nicht der 1st level, sollte erst gar nicht auf dem DC anmelden... Dafür gibt's die RSAT die man sich lokal auf dem Client Rechner installieren kann.lg,
Slainte
1
Das mir schon klar, aber es ist leider so gewünscht. Es sind ja weiterhin IT Mitarbeiter.
Hi,
RSAT ist der korrekte Ansatz.
E.
Das mir schon klar, aber es ist leider so gewünscht.
Wer wünscht das? Arbeitest Du bei "Wünsch Dir was!" ?Es sind ja weiterhin IT Mitarbeiter.
Wir sind ein ganzes Haus voller IT-Admins und niemand, niemand arbeitet direkt auf den DC's.RSAT ist der korrekte Ansatz.
E.
3
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
Zitat von @makaroni:
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
Hi, ich habe die Weisheit nun auch nicht mit dem Löffel gefuttert...
deshalb die Frage: Warum sollte auf den DC´s nicht administriert werden?
Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?
Gruß
Jungs ihr seid völlig richtig und ich steh da hinter was hier gesagt wird. Ich werde es noch einmal ansprechen und dann schau ich weiter.
Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?
Nein, das hat damit nichts zu tun. Wenn es darum geht, dann muss man als erstes damit aufhören, dass alle mit DEM Administrator-Konto arbeiten. Da benötigt jeder sein eigenes. Aber das ist ja auch ganz normal ...Nein, es fängt ja schon damit an, dass man den Benutzern Anmelderechte per RDP auf diesem Server erteilen muss.
Dann muss man verhindern, dass diese den DC runterfahren, neustarten oder in den Ruhemodus versetzen können.
Dann können diese die Festplatten vollmüllen, auch unabsichtlich wenn z.B. große Roaming Profiles vorhanden sind.
Internet, Druckertreiber und und und
Man muss schon sehr viel bedenken und einschränken, dass sich die Frage nach dem Aufwand-Nutzen-Verhältnis aufdrängt.
RSAT kann man auf jeden beliebigen Domain Member installieren und auch mit "Ausführen als..." starten.
Das mit den Benutzern kann ich verstehen. Da wir in unserer IT nur 2 Benutzer sind
kam bei uns bisher diese Frage nicht auf.
Danke.
kam bei uns bisher diese Frage nicht auf.
Danke.
