Anlegen einesHilfsadministrator
Administrator in der Domäne mit Einschränkungen
Hallo zusammen,
ich möchte gerne einen Administrator einrichten auf dem DC. Der sollte jedoch ein paar Einschränkungen erhalten. So darf er folgendes nicht:
Eigene Administratoren anlegen/kopieren
Eigene Domain-Admins anlegen/kopieren
Vertrauliche Gruppen bearbeiten (z.B. Personal/Buchhaltung)
Ansonsten soll der Kollege produktiv am System arbeiten können.
Im Prinzip habe ich mir folgendes überlegt. Ich habe eine Gruppe angelegt, die (nennen wir Sie mal) DenyAdmin heißt. Da ist dieser Hilfsadministrator Mitglied.
In den Sicherheitseinstellungen im AD habe ich es so eingestellt, dass dieser Gruppe DenyAdmin die Rechte auf den o.g. Objekten verweigert werden (auch natürlich der DenyAdmin Gruppe selber). Das ist eigentlich eine soilde Sache... dachte ich
Bei der Dateifreigabe bin ich jedoch gescheitert. Ich konnte zwar den Zugriff auf die Daten "verweigern", allerdings weiß ich nicht, wie ich verhindern kann, dass der Besitz übernommen werden kann.
Hat jemand einen Link zu einer Anleitung oder Tipps für die Anlage von Hilfsadministratoren.
Da ich bis dato der "einzige" Administrator war (abgesehen von einer Vertretung), musste ich mir dahingehend keine Gedanken machen. Vieleicht gibt es ja auch den einen oder anderen Punkt, den ich beachten sollte.
Ich sage schon mal Danke und schönes Wochenende
derLenhart!
Hallo zusammen,
ich möchte gerne einen Administrator einrichten auf dem DC. Der sollte jedoch ein paar Einschränkungen erhalten. So darf er folgendes nicht:
Eigene Administratoren anlegen/kopieren
Eigene Domain-Admins anlegen/kopieren
Vertrauliche Gruppen bearbeiten (z.B. Personal/Buchhaltung)
Ansonsten soll der Kollege produktiv am System arbeiten können.
Im Prinzip habe ich mir folgendes überlegt. Ich habe eine Gruppe angelegt, die (nennen wir Sie mal) DenyAdmin heißt. Da ist dieser Hilfsadministrator Mitglied.
In den Sicherheitseinstellungen im AD habe ich es so eingestellt, dass dieser Gruppe DenyAdmin die Rechte auf den o.g. Objekten verweigert werden (auch natürlich der DenyAdmin Gruppe selber). Das ist eigentlich eine soilde Sache... dachte ich
Bei der Dateifreigabe bin ich jedoch gescheitert. Ich konnte zwar den Zugriff auf die Daten "verweigern", allerdings weiß ich nicht, wie ich verhindern kann, dass der Besitz übernommen werden kann.
Hat jemand einen Link zu einer Anleitung oder Tipps für die Anlage von Hilfsadministratoren.
Da ich bis dato der "einzige" Administrator war (abgesehen von einer Vertretung), musste ich mir dahingehend keine Gedanken machen. Vieleicht gibt es ja auch den einen oder anderen Punkt, den ich beachten sollte.
Ich sage schon mal Danke und schönes Wochenende
derLenhart!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147570
Url: https://administrator.de/contentid/147570
Ausgedruckt am: 13.11.2024 um 12:11 Uhr
1 Kommentar
Hallo,
genau diese Aufgabe beschäftigt mich auch gerade. Schau dir mal meinen Beitrag unter Empfehlungen für den Einsatz von Zweigstellen-Admins an. Vielleicht hilft dir das ja weiter.
Den Besitz von Dateien kann jeder lokale Administrator übernehmen. Da wirst auch nichts dran ändern können. Aber vielleicht schaffst du es, dass deine neue HilfsAdmin-Gruppe NICHT zu den Dom-Admins/lokalen Admins gehört. Dann ist dieses Problem gelöst. Schau dir mal meine Überlegungen in dem anderen Beitrag an.
Viele Grüße und ein schönes Wochenende!
creyzee
genau diese Aufgabe beschäftigt mich auch gerade. Schau dir mal meinen Beitrag unter Empfehlungen für den Einsatz von Zweigstellen-Admins an. Vielleicht hilft dir das ja weiter.
Den Besitz von Dateien kann jeder lokale Administrator übernehmen. Da wirst auch nichts dran ändern können. Aber vielleicht schaffst du es, dass deine neue HilfsAdmin-Gruppe NICHT zu den Dom-Admins/lokalen Admins gehört. Dann ist dieses Problem gelöst. Schau dir mal meine Überlegungen in dem anderen Beitrag an.
Viele Grüße und ein schönes Wochenende!
creyzee