AD Zugriff für nicht Domänen Admins
Hallo zusammen,
folgende Frage: Was mache ich falsch ;D
Ziel ist es für das 1st Level einen AD Account zu haben, der nur Userobjekte verwalten darf (anlegen, löschen, editieren, Passwörter, Mitgliedschaften etc.).
Das das über Delegation funktioniert weiß ich, habe das auch früher schon einmal gemacht, nur habe ich wohl irgendwo etwas vergessen.
Wenn der Benutzer sich per RDP auf dem DC anmeldet und das Active Directory starten will, kommt die Benutzer und Passwort Eingabe und ich weiß gerade nicht wieso?
Jemand einen Tipp?
Viele Grüße,
Ofod
folgende Frage: Was mache ich falsch ;D
Ziel ist es für das 1st Level einen AD Account zu haben, der nur Userobjekte verwalten darf (anlegen, löschen, editieren, Passwörter, Mitgliedschaften etc.).
Das das über Delegation funktioniert weiß ich, habe das auch früher schon einmal gemacht, nur habe ich wohl irgendwo etwas vergessen.
Wenn der Benutzer sich per RDP auf dem DC anmeldet und das Active Directory starten will, kommt die Benutzer und Passwort Eingabe und ich weiß gerade nicht wieso?
Jemand einen Tipp?
Viele Grüße,
Ofod
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355732
Url: https://administrator.de/forum/ad-zugriff-fuer-nicht-domaenen-admins-355732.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @makaroni:
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
Hi, ich habe die Weisheit nun auch nicht mit dem Löffel gefuttert...
deshalb die Frage: Warum sollte auf den DC´s nicht administriert werden?
Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?
Gruß
Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?
Nein, das hat damit nichts zu tun. Wenn es darum geht, dann muss man als erstes damit aufhören, dass alle mit DEM Administrator-Konto arbeiten. Da benötigt jeder sein eigenes. Aber das ist ja auch ganz normal ...Nein, es fängt ja schon damit an, dass man den Benutzern Anmelderechte per RDP auf diesem Server erteilen muss.
Dann muss man verhindern, dass diese den DC runterfahren, neustarten oder in den Ruhemodus versetzen können.
Dann können diese die Festplatten vollmüllen, auch unabsichtlich wenn z.B. große Roaming Profiles vorhanden sind.
Internet, Druckertreiber und und und
Man muss schon sehr viel bedenken und einschränken, dass sich die Frage nach dem Aufwand-Nutzen-Verhältnis aufdrängt.
RSAT kann man auf jeden beliebigen Domain Member installieren und auch mit "Ausführen als..." starten.