salihmesserschmidt
Goto Top

Administrativer Benutzer ohne Rechte auf AD

Guten Tag.
Ich habe die Aufgabenstellung bekommen, einen Administrativen Benutzer anzulegen, der aber auf den Hauptservern keine Administrative Rechte haben darf/soll....
Mein erster Vorschlag war es gewöhnliche Benutzer mit lokalen AdminRechten, aber dieser wurde leider abgelehnt, da diese Person schon echte Admin Rechte haben soll, aber jedoch auf den Haupt Servern keine Rechte haben darf..... Kann ich das irgendwie in der AD einen Benutzer so isolieren dass es machbar wäre?
Über Ideen würde ich mich freuen.
Gruß
Messerschmidt.

Content-ID: 6062469956

Url: https://administrator.de/contentid/6062469956

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

radiogugu
radiogugu 20.02.2023 um 19:33:05 Uhr
Goto Top
Nabend.

Etwas eigentümlich.

Was soll denn das Ziel sein?

Soll sich der Benutzer auf den Servern anmelden können?
Soll er sich überhaupt irgendwo anmelden können?

Ansonsten die "Hauptserver" in eine eigene OU packen und bei den anderen Servern und PC mittels GPO den Benutzer / Admin in die lokale Admin Gruppe setzen.

Gruß
Marc
O.Gensch
Lösung O.Gensch 20.02.2023 um 19:35:41 Uhr
Goto Top
Hallo,

kannst du bitte deine Aufgabenstellung etwas genauer beschreiben. Was meinst du mit den Hauptservern?
Wenn es kein lokaler Admin sein soll... soll es eine Anwendung eine Datenbank einen Dienst eine OU bestimmte Gruppen was soll es Administrieren?

Hier hast du mal einen Adminkonzept der bestimmt viele deiner Fragen beantworten kann
www.msxfaq.de/konzepte/adminrechte.htm
MirkoKR
MirkoKR 20.02.2023 um 21:25:04 Uhr
Goto Top
Hi.

genau: Die Beschränkunen genauer definieren!

Tasächlich lasssen sich Berechtigungen in einer Domain sehr granular definieren ....

Im Fall der lokalen Administration auf PCs z.B. brauchst du der/die Nutzer/in (ich hasse überflüssiges Gendern) nur der GPO "Lokale Admins" hinzufügen ...

.
SalihMesserschmidt
SalihMesserschmidt 21.02.2023 um 09:01:04 Uhr
Goto Top
Hallo Mirko.
Leider wurde das nicht gewünscht.
Hallo O. Gensch= Diese Seite habe ich dem eigentlichen Fragesteller weitergeleitet. Soll er sich damit ärgern, da ich das nicht tun würde; Einen Admin anlegen, der kein Admin sein kann, hier und dort...
HAllo Radiogugu= Top Ideen, da mir aber selber die Infos fehlen, habe ich diese mal auch gestellt.
Xaero1982
Xaero1982 21.02.2023 um 09:30:30 Uhr
Goto Top
Wir wissen immernoch nicht was du willst
SalihMesserschmidt
SalihMesserschmidt 21.02.2023 um 09:35:36 Uhr
Goto Top
Dachte, da oben in meiner Frage steht das drinnen. Ich selber will nichts, es ist eine Fragen vom Kunden. Der will einen Admin Account der auf bestimmten server keine Admin Rechte haben soll/darf.
Ich habe soweit meine Ideen zusammen. Setze die Aufgabe auf erledigt.
Danke an die Ideengebende Personen.
Gruß
Messerschmidt.
ArnoNymous
ArnoNymous 21.02.2023 um 10:06:18 Uhr
Goto Top
Moin,

Zitat von @SalihMesserschmidt:

Guten Tag.
Ich habe die Aufgabenstellung bekommen, einen Administrativen Benutzer anzulegen, der aber auf den Hauptservern keine Administrative Rechte haben darf/soll....
Mein erster Vorschlag war es gewöhnliche Benutzer mit lokalen AdminRechten,

Aber genau das wäre doch der Weg, wenn er nur auf einigen Servern Adminrechte bekommen soll.

aber dieser wurde leider abgelehnt, da diese Person schon echte Admin Rechte haben soll,

Was sollen denn "echte Admin Rechte" sein? Und worin unterscheiden die sich zu lokalen Adminrechten auf den Servern?
SalihMesserschmidt
SalihMesserschmidt 21.02.2023 um 10:12:04 Uhr
Goto Top
Hey Arnonymus= Diese Fragen wurden mir ebenso nicht beantwortet. Sorry. Daher habe ich diese Aufgabe auch auf erledigt gesetzt. Aber dennoch danke für die Nachfragen.
Xaero1982
Xaero1982 21.02.2023 um 20:40:00 Uhr
Goto Top
wow, na dein Kunde will ich nicht sein.

Du bist leider nicht mal in der Lage deinen Kunden zu fragen was er genau möchte und nicht in der Lage uns dein konkretes Anliegen darzulegen.
SalihMesserschmidt
SalihMesserschmidt 23.02.2023 um 21:38:33 Uhr
Goto Top
Das Thema ist aus meiner Sicht erledigt.
Der Kunde hat sich dazu nicht mehr weiter geäussert.
Eventuell sieht er auch ein, dass sein Anliegen keine echte Lösung anbietet und er
mit normalen Benutzer Account+Lokaler Admin auch gut bedient wird.

Bitte von solchen Aussagen wie "Dein Kunde will ich nicht sein" absehen.
Jemanden solchen Sachen zu schreiben, ist nicht sehr freundlich und nett.
Ich mache auch solche Äusserungen nicht.

Es gibt Umstände, die mich davon abhalten, solche Sachen nachzubohren, und Gründe wieso ich es lasse.

Das Thema ist erledigt und erledigt.