6
Admin soll ADUC nicht öffnen können
Hallo,
ich möchte einen User erstellen / einschränken der auf Servern als Admin arbeiten darf. Er soll aber nicht die Active Directory Benutzer und Computer oder generell die AC / DNS / DHCP Bereich öffnen dürfen.
Gibt es hier eine Möglichkeit?
OS: Windows Server 2016 / 2012
Schönes WE
Gruß
ich möchte einen User erstellen / einschränken der auf Servern als Admin arbeiten darf. Er soll aber nicht die Active Directory Benutzer und Computer oder generell die AC / DNS / DHCP Bereich öffnen dürfen.
Gibt es hier eine Möglichkeit?
OS: Windows Server 2016 / 2012
Schönes WE
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 367693
Url: https://administrator.de/contentid/367693
Printed on: April 16, 2024 at 18:04 o'clock
6 Comments
Latest comment
Hi,
ja das ist möglich, aber Du hast den falschen Ansatz.
Wenn Du einen Benutzer hast, der einige administrative Arbeioten übernehmen soll, dann muss Du als erstes festlegen, was er gegenüber einen "Normalbenutzer" mehr tun darf, nicht, was er nicht tun darf. Die dafür erforderlichen Rechte erteilst Du ihm dann.
Ich nehme an, dass ist ein "All-in-one" Server? Also DC/DNS, DHCP, Fileserver, Printserver, irgendeine Applikation?
Was soll er denn alles administrieren dürfen?
E.
ja das ist möglich, aber Du hast den falschen Ansatz.
Wenn Du einen Benutzer hast, der einige administrative Arbeioten übernehmen soll, dann muss Du als erstes festlegen, was er gegenüber einen "Normalbenutzer" mehr tun darf, nicht, was er nicht tun darf. Die dafür erforderlichen Rechte erteilst Du ihm dann.
Ich nehme an, dass ist ein "All-in-one" Server? Also DC/DNS, DHCP, Fileserver, Printserver, irgendeine Applikation?
Was soll er denn alles administrieren dürfen?
E.
Hi,
nein, kein All-In-One Server.
Es geht um mehrere Server, u.a. ist auch ein Server der Mail und AD hat, wo der Kollege nur im Falle eines Falles drauf Zugreifen soll / muss / kann / darf.
Mit anderen Worten, ich muss einen Sub-Admin anlegen, der nur auf Bestimmte System darf und aber auch nicht in Mails oder das AD darf. Er soll aber z.b. was installieren können oder an die Netzwerkeinstellungen.
Gruß
nein, kein All-In-One Server.
Es geht um mehrere Server, u.a. ist auch ein Server der Mail und AD hat, wo der Kollege nur im Falle eines Falles drauf Zugreifen soll / muss / kann / darf.
Mit anderen Worten, ich muss einen Sub-Admin anlegen, der nur auf Bestimmte System darf und aber auch nicht in Mails oder das AD darf. Er soll aber z.b. was installieren können oder an die Netzwerkeinstellungen.
Gruß
Hi,
für einen DC geht das schon mal nicht. Wenn Admin auf dem DC dann auch Admin in der betreffenden Domäne.
Für Exchange Server gilt das Gleiche.
für einen DC geht das schon mal nicht. Wenn Admin auf dem DC dann auch Admin in der betreffenden Domäne.
Für Exchange Server gilt das Gleiche.
Es geht um mehrere Server, u.a. ist auch ein Server der Mail und AD hat, wo der Kollege nur im Falle eines Falles drauf Zugreifen soll / muss / kann / darf.
Formuliere daraus konkrete Aufgaben und berechtige entsprechend!Mit anderen Worten, ich muss einen Sub-Admin anlegen, der nur auf Bestimmte System darf
Formuliere daraus konkrete Aufgaben und berechtige entsprechend!
Hi,
Die konkrete Aufgabe heißt: Er darf auf bestimmten Computern alles. Nur wie gesagt, auf einem ist halt der DC drauf. Da möchte ich nicht, das er da drin rum werkelt.
/EDIT: also der DC incl. Mail haben wir intern besprochen ist für den User dann gesperrt, da soll er also gar nicht drauf. EDIT/
Gruß
Die konkrete Aufgabe heißt: Er darf auf bestimmten Computern alles. Nur wie gesagt, auf einem ist halt der DC drauf. Da möchte ich nicht, das er da drin rum werkelt.
/EDIT: also der DC incl. Mail haben wir intern besprochen ist für den User dann gesperrt, da soll er also gar nicht drauf. EDIT/
Gruß
Die konkrete Aufgabe heißt: Er darf auf bestimmten Computern alles.
Sorry, aber das ist keine konkrete Aufgabe.Konkrete Aufgaben wären z.B.
- Benutzer darf den Server XYZ001 vollumpfänglich administrieren
- Benutzer darf auf Server ABC999 die Zugriffsberechtigungen für die Daten des Volume D: verwalten
- Benutzer darf die Zugriffsberechtigungen in der Freigabe \\server123\Daten$ verwalten
- Benutzer darf Kennwörter von Benutzern aus OU Sowieso zurücksetzen
- Benutzer darf auf Server lalala Drucker installieren und konfigurieren
- Benutzer darf sich an Server Dumdidum per RDP anmelden
"bestimmte Computer" ist nicht konkret.
"Da möchte ich nicht, das er da drin rum werkelt." ist auch nicht sehr konkret. Darf er ihn z.B. durchstarten?
Lege sowas genau fest und Du wirst sehen, dass es ganz einfach wird, dies einzurichten.
Und ja - das macht Arbeit. Welche Dir keiner abnehmen kann.
HI, sorry,
mit bestimmte Computer meinte ich eigentlich alle Computer die dort Vor Ort sind und wie du sagst "vollumfänglich"
Der Server wo das AD ist fällt komplett für den Benutzer raus.
Das mit dem Anmelden kann ich ja im Benutzer eingrenzen mit Anmelden an... und kann dort die Systeme hinterlegen.
mit bestimmte Computer meinte ich eigentlich alle Computer die dort Vor Ort sind und wie du sagst "vollumfänglich"
Der Server wo das AD ist fällt komplett für den Benutzer raus.
Das mit dem Anmelden kann ich ja im Benutzer eingrenzen mit Anmelden an... und kann dort die Systeme hinterlegen.
