Administrator auf einem DC aber nicht auf allen
Ich habe ein Problem mit der Rechtevergabe in einem Windows Sever 2003-Netzwerk. In diesem Netzwerk gibt es 2 DC's und einen Haufen Workstations. Ein Co-Admin soll nun Admin-Rechte auf einer Gruppe von Workstations bekommen sowie auf einem der DC's. Er soll aber in keinem Fall auf den anderen DC oder die anderen Workstations Zugriff erlangen.
Das Problem mit den Workstations habe ich gelöst, in dem ich die Entsprechenden Workstations in eine OU geschoben habe und dieser eine Gruppenrichtlinie zugeordnet habe, die den Co-Admin dort zu einem lokalen Admin macht.
Bei dem Problem mit den beiden DC's komme ich aber nicht weiter. Wenn ich ihn dort zum Admin mache, wird das automatisch auch auf den anderen DC repliziert und er ist auch dort Admin. Gibt es da eine Möglichkeit, die ich übersehen habe? Vielleicht ist Admin auch noch etwas zu allgemein formuliert. Er soll natürlich keinen Zugriff auf das AD oder die Benutzerrechte erhalten. Er soll lediglich lokal auf dem einen DC Software installieren und warten können.
Ich hoffe ihr habt eine Idee, wie ich hier weiterkommen kann.
Das Problem mit den Workstations habe ich gelöst, in dem ich die Entsprechenden Workstations in eine OU geschoben habe und dieser eine Gruppenrichtlinie zugeordnet habe, die den Co-Admin dort zu einem lokalen Admin macht.
Bei dem Problem mit den beiden DC's komme ich aber nicht weiter. Wenn ich ihn dort zum Admin mache, wird das automatisch auch auf den anderen DC repliziert und er ist auch dort Admin. Gibt es da eine Möglichkeit, die ich übersehen habe? Vielleicht ist Admin auch noch etwas zu allgemein formuliert. Er soll natürlich keinen Zugriff auf das AD oder die Benutzerrechte erhalten. Er soll lediglich lokal auf dem einen DC Software installieren und warten können.
Ich hoffe ihr habt eine Idee, wie ich hier weiterkommen kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82048
Url: https://administrator.de/forum/administrator-auf-einem-dc-aber-nicht-auf-allen-82048.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
2 Kommentare
Neuester Kommentar
gabs da nicht ein vorkonfiguriertes Konto?
Wie sieht's aus mit den Domainanmeldungen? Du könntest auf der entsprechenden Domände einfach die Anmeldung verweigern und das dürfte nicht repliziert werden, weil die Maschinen ja zwei verschiedene Domänen bereitstellen...
also der Co-Admin hat z.B. Zugriff auf Domäne a, aber nicht auf b.
Dann müsste er sich immer anmelden mit <username>@a o.Ä. und somit ist klar, welcher Domäne er angehört und wo er sich anmelden darf und wo nicht...
MfG
kabwue
Wie sieht's aus mit den Domainanmeldungen? Du könntest auf der entsprechenden Domände einfach die Anmeldung verweigern und das dürfte nicht repliziert werden, weil die Maschinen ja zwei verschiedene Domänen bereitstellen...
also der Co-Admin hat z.B. Zugriff auf Domäne a, aber nicht auf b.
Dann müsste er sich immer anmelden mit <username>@a o.Ä. und somit ist klar, welcher Domäne er angehört und wo er sich anmelden darf und wo nicht...
MfG
kabwue