7
Adminrechte auf nur EINEM Server in der Domäne
Hallo Forumsteilnehmer,
eine Frage zu AD-Rechten:
Habe eine W2k-Domäne mit einem Domänencontroller in der Zentrale und einem ins AD eingebundenen W2k-Server in einer Nierlassung.
Meine "rechte Hand" in der Niederlassung, nennen wir ihn StandortAdmin, soll auf dem Server in der Niederlassung Admin-Rechte ausüben, also User für diesen Standort anlegen,ändern, löschen sowie Verzeichnisse freigeben, löschen usw. Auf dem DC in der Zentrale soll er jedoch keine Benutzer ändern können, Verzeichnisse jedoch darf er ändern.
Hierzu habe ich in dem OU "Standort2", in dem der Standortserver und die User in der Niederlassung sowie auch der StandortAdmin drin sind, dem StandortAdmin die Verwaltung dieses Objektes zugewiesen. Nun kann er oben erwähnte Tätigkeiten durchführen.
Wie kann ich ihm aber nun noch erlauben, dass er auf dem Standortserver auch Software installieren darf, OHNE dass ich ihm die Domänen-Admin-Rechte gebe? Über die GPO habe ich schon rumprobiert, bin aber nicht zum Ziel gekommen.
Will halt vermeiden, dass der Standortadmin auf dem Domänencontoller Installationen durchführt.
Hat jemand von Euch einen Hinweis? Bin für jeden Tipp dankbar!
Schöne Grüße,
Torsten
eine Frage zu AD-Rechten:
Habe eine W2k-Domäne mit einem Domänencontroller in der Zentrale und einem ins AD eingebundenen W2k-Server in einer Nierlassung.
Meine "rechte Hand" in der Niederlassung, nennen wir ihn StandortAdmin, soll auf dem Server in der Niederlassung Admin-Rechte ausüben, also User für diesen Standort anlegen,ändern, löschen sowie Verzeichnisse freigeben, löschen usw. Auf dem DC in der Zentrale soll er jedoch keine Benutzer ändern können, Verzeichnisse jedoch darf er ändern.
Hierzu habe ich in dem OU "Standort2", in dem der Standortserver und die User in der Niederlassung sowie auch der StandortAdmin drin sind, dem StandortAdmin die Verwaltung dieses Objektes zugewiesen. Nun kann er oben erwähnte Tätigkeiten durchführen.
Wie kann ich ihm aber nun noch erlauben, dass er auf dem Standortserver auch Software installieren darf, OHNE dass ich ihm die Domänen-Admin-Rechte gebe? Über die GPO habe ich schon rumprobiert, bin aber nicht zum Ziel gekommen.
Will halt vermeiden, dass der Standortadmin auf dem Domänencontoller Installationen durchführt.
Hat jemand von Euch einen Hinweis? Bin für jeden Tipp dankbar!
Schöne Grüße,
Torsten
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 15090
Url: https://administrator.de/forum/adminrechte-auf-nur-einem-server-in-der-domaene-15090.html
Ausgedruckt am: 11.04.2025 um 00:04 Uhr
7 Kommentare
Neuester Kommentar
Ich hab grad meine Kollegen gefragt und wie ich mir dachte musst Du am besten eine eigene iNSTALLER Gruppe machen und Dich durch die ganzen ACLs pfrimeln :/
Ich hoffe jmd kennt eine bessere Lösung!
Du kannst natürlich auch einen DomainAdmin einfach abspecken - naja ein Übel löst das andere ab... :=)
Ich hoffe jmd kennt eine bessere Lösung!
Du kannst natürlich auch einen DomainAdmin einfach abspecken - naja ein Übel löst das andere ab... :=)
Admin abspecken 
das ist zwar nett, aber sagen wir mal vergebene Liebesmühe.
Weil jeder Admin das machen kann was ein Admin machen kann, egal ob er Teilberechtigungen hat oder nicht, schliesslich ist er der Admin und der kann alles machen. (kommt natürlich auf die Person an, die der Admin darstellt)
Entweder du steckst den Externadmin mit seinem Standort in eine Unterdomain, und setz passend die Transitiven Vertrauensstellungen, oder du versuchst folgendes wobei ich mir nicht 100% sicher bin das das klappt, nur 99%. Du gibst dem Externadmin innerhalb seines Wirkungskreises Lokaleadminrechte, und in der Domain DomainUserrechte mit der NTFS - Berechtigung Vollzugriff. Danach bennenst den Domadmin um und gibst dem einen anderes Passwort. Das sollte auch gehen. Ersteres ist aber die Sauberere Lösung und auch die, die Microsoft angibt.
Mfg Metzger
das ist zwar nett, aber sagen wir mal vergebene Liebesmühe.Weil jeder Admin das machen kann was ein Admin machen kann, egal ob er Teilberechtigungen hat oder nicht, schliesslich ist er der Admin und der kann alles machen. (kommt natürlich auf die Person an, die der Admin darstellt)
Entweder du steckst den Externadmin mit seinem Standort in eine Unterdomain, und setz passend die Transitiven Vertrauensstellungen, oder du versuchst folgendes wobei ich mir nicht 100% sicher bin das das klappt, nur 99%. Du gibst dem Externadmin innerhalb seines Wirkungskreises Lokaleadminrechte, und in der Domain DomainUserrechte mit der NTFS - Berechtigung Vollzugriff. Danach bennenst den Domadmin um und gibst dem einen anderes Passwort. Das sollte auch gehen. Ersteres ist aber die Sauberere Lösung und auch die, die Microsoft angibt.
Mfg Metzger
Deinen ersten abschnitt versteh ich nich Metzi... 
also rein von der intension resultierend aus der syntax :/
Aber Deine Lsg, auch wenn der Wortlaut ein anderer ist enspricht meiner doch zu 100%!? hää? Totale verwirrung
also rein von der intension resultierend aus der syntax :/Aber Deine Lsg, auch wenn der Wortlaut ein anderer ist enspricht meiner doch zu 100%!? hää? Totale verwirrung
@metzger,
danke für Deine Antwort. Würde es gerne mit Deinem 99%-Vorschlag versuchen, aber habe da noch ´ne "dumme" Frage: wie setze ich dem StandortAdmin "innerhalb seines Wirkungskreises", wie Du so schön schreibst, lokale Adminrechte? Er ist in der OU Standort2, also seinem Wirkungskreis, drin und verwaltet diesen ja auch, aber wie bekomme ich es in der AD-Verwaltung "Benutzer und Computer" gebacken, dass ich ihm lokale Adminrechte zuweise? Reinpacken in die Gruppe "Domänen-Admins" will ich ihn ja gerade nicht...
Sorry für dies evtl. etwas einfältige Frage, aber bin Newbie...
Danke!
Torsten
danke für Deine Antwort. Würde es gerne mit Deinem 99%-Vorschlag versuchen, aber habe da noch ´ne "dumme" Frage: wie setze ich dem StandortAdmin "innerhalb seines Wirkungskreises", wie Du so schön schreibst, lokale Adminrechte? Er ist in der OU Standort2, also seinem Wirkungskreis, drin und verwaltet diesen ja auch, aber wie bekomme ich es in der AD-Verwaltung "Benutzer und Computer" gebacken, dass ich ihm lokale Adminrechte zuweise? Reinpacken in die Gruppe "Domänen-Admins" will ich ihn ja gerade nicht...
Sorry für dies evtl. etwas einfältige Frage, aber bin Newbie...
Danke!
Torsten
hmmmm vielleicht zuviel Admin drin 
Wenn man Administrator in einem Bereich ist, ist es immer möglich, sich selber durch den darüberliegenden Bereich die Adminrechte wieder zu geben. z.b.
Admin a und Admin b
Auf c:\ haben beide Admins Vollzugriff.
Wenn nun Admin a dem Admin b den Kompletten Zugriff auf c:\no-admin-b verweigert, kommt Admin b nicht mehr auf c:\no-admin-b drauf. Admin b hat aber die Möglichkeit sich über c:\ wieder Vollzugriff auf c:\no-admin-b zu geben. Somit kann Admin a Admin b nie auschliessen, ausser er zieht ihn aus der Admingruppe raus.
Mfg Metzger
Wenn man Administrator in einem Bereich ist, ist es immer möglich, sich selber durch den darüberliegenden Bereich die Adminrechte wieder zu geben. z.b.
Admin a und Admin b
Auf c:\ haben beide Admins Vollzugriff.
Wenn nun Admin a dem Admin b den Kompletten Zugriff auf c:\no-admin-b verweigert, kommt Admin b nicht mehr auf c:\no-admin-b drauf. Admin b hat aber die Möglichkeit sich über c:\ wieder Vollzugriff auf c:\no-admin-b zu geben. Somit kann Admin a Admin b nie auschliessen, ausser er zieht ihn aus der Admingruppe raus.
Mfg Metzger
Ich hatte noch folgende Lösung angezeigt :
Entweder du steckst den Externadmin mit seinem Standort in eine Unterdomain, und setz passend die Transitiven Vertrauensstellungen oder
Sprich die Hauptdomain heist tüv.org und die Subdomain schulung.
schulung.tüv.org
Hierbei hast du die Möglichkeit mit den Transitive Vertrauensstellungen folgende Konfiguration zu administrieren :
Domain schulung vertaut der Domain tüv und Domain tüv vertaut der Domain schulung nicht.
Das hat zur Folge das die Domain tüv die Domain schulung verwalten und administrieren kann aber umgekehr nicht weil tüv der schulung nicht traut, und das ist ja das was gewünscht ist.
Mfg Metzger
Entweder du steckst den Externadmin mit seinem Standort in eine Unterdomain, und setz passend die Transitiven Vertrauensstellungen oder
Sprich die Hauptdomain heist tüv.org und die Subdomain schulung.
schulung.tüv.org
Hierbei hast du die Möglichkeit mit den Transitive Vertrauensstellungen folgende Konfiguration zu administrieren :
Domain schulung vertaut der Domain tüv und Domain tüv vertaut der Domain schulung nicht.
Das hat zur Folge das die Domain tüv die Domain schulung verwalten und administrieren kann aber umgekehr nicht weil tüv der schulung nicht traut, und das ist ja das was gewünscht ist.
Mfg Metzger
Hmm, der Server im Standort ist doch kein DC?!?
Schmeiss ihn doch auf dem Standortserver in die Gruppe der Administratoren und gut ist.
Schmeiss ihn doch auf dem Standortserver in die Gruppe der Administratoren und gut ist.
