4
Berechtigung für Netlogon ändern
Hallo,
durch die Delegierung von Berechtigungen für die Administration des ActiveDirectorys haben wir bewirkt, dass keine administratoren für das Tagesgeschäft Administratorrechte für die Domäne benötigen. Nun benötigen die Administratoren noch Schreibberechtigungen für die Logonscripte, damit neue Scripte angelegt oder bestehende modifiziert werden können.
Spricht etwas gegen die Veränderung der Berechtigung des NETLOGON-Shares? Es müsste dort auf allen DCs eine zusätzliche Gruppe mit Ändern-Berechtigung hinzugefügt werden, das gleiche gilt dann für die NTFS-Berechtigung in dem Verzeichnis scripts. Vielleicht gibt es dazu auch eine offizielle Aussage von Microsoft?
Viele Grüße
durch die Delegierung von Berechtigungen für die Administration des ActiveDirectorys haben wir bewirkt, dass keine administratoren für das Tagesgeschäft Administratorrechte für die Domäne benötigen. Nun benötigen die Administratoren noch Schreibberechtigungen für die Logonscripte, damit neue Scripte angelegt oder bestehende modifiziert werden können.
Spricht etwas gegen die Veränderung der Berechtigung des NETLOGON-Shares? Es müsste dort auf allen DCs eine zusätzliche Gruppe mit Ändern-Berechtigung hinzugefügt werden, das gleiche gilt dann für die NTFS-Berechtigung in dem Verzeichnis scripts. Vielleicht gibt es dazu auch eine offizielle Aussage von Microsoft?
Viele Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 377761
Url: https://administrator.de/forum/berechtigung-fuer-netlogon-aendern-377761.html
Ausgedruckt am: 07.04.2025 um 07:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @JoeDevlin:
Spricht etwas gegen die Veränderung der Berechtigung des NETLOGON-Shares? Es müsste dort auf allen DCs eine zusätzliche Gruppe
Was hindert dich daran es zu tun? Solange die vorhandene Berechtigung (die ja sauber funktioniert) nicht geändert wird, aber schön ist es nicht - vor allem wenn es nicht Dokumentiert ist.Spricht etwas gegen die Veränderung der Berechtigung des NETLOGON-Shares? Es müsste dort auf allen DCs eine zusätzliche Gruppe
Vielleicht gibt es dazu auch eine offizielle Aussage von Microsoft?
Hast du denn dort angefragt bzw. mit deiner Frage ein Ticket dort aufgemacht?Gruß,
Peter
Zitat von @Pjordorf:
Was hindert dich daran es zu tun? Solange die vorhandene Berechtigung (die ja sauber funktioniert) nicht geändert wird, aber schön ist es nicht - vor allem wenn es nicht Dokumentiert ist.
Was hindert dich daran es zu tun? Solange die vorhandene Berechtigung (die ja sauber funktioniert) nicht geändert wird, aber schön ist es nicht - vor allem wenn es nicht Dokumentiert ist.
Was hindert mich daran es zu dokumentieren? Schön ist es sicherlich nicht, aber...
Hast du denn dort angefragt bzw. mit deiner Frage ein Ticket dort aufgemacht?
...ich sehe von Microsoft auch keinen anderen Weg, zumindest habe ich dazu nichts gefunden. Ich habe bei Microsoft kein Ticket aufgemacht, meine Frage zielt auf ein Technet-Artikel o.ä. oder eine "offizielle" Vorgehensweise.
Anders gefragt: Wie delegieren andere IT-Verantwortliche diese Aufgabe?
Hallo,
Nun, nicht jedes Unternehmen und jeder Admin hat auch dies
gemacht. Vielleicht erzählst du mal ein bischen mehr was ihr denn nun gemacht habt oder setzt einfach die zusätzliche Gruppen Berechitigung. Es ist doch nur ein Freigegebener Ordner 
Gruß,
Peter
Nun, nicht jedes Unternehmen und jeder Admin hat auch dies
durch die Delegierung von Berechtigungen für die Administration des ActiveDirectorys haben wir bewirkt, dass keine administratoren für das Tagesgeschäft Administratorrechte für die Domäne benötigen
Gruß,
Peter
Hi,
Sofern es GPO-Loginscripte sind:
Warum müssen denn diese Scripte unbedingt im NETLOGON liegen?
Du könntest einen alternativen DFS-Stamm erstellen, diesen auch zwischen den DC's replizieren und die Script von dort starten. Damit könntest Du dort die Rechte anpassen, wie Ihr es braucht,, ohne dass Du Dir Sorgen machen musst.
E.
Sofern es GPO-Loginscripte sind:
Warum müssen denn diese Scripte unbedingt im NETLOGON liegen?
Du könntest einen alternativen DFS-Stamm erstellen, diesen auch zwischen den DC's replizieren und die Script von dort starten. Damit könntest Du dort die Rechte anpassen, wie Ihr es braucht,, ohne dass Du Dir Sorgen machen musst.
E.
