3
Berechtigungen für den Support
hallo zusammen
ich habe wieder mal eine frage, wo ich nicht ganz weis, wie ich dies lösen soll.
wir haben einen support, welcher momentan alle über einen domänen admin account verfügen, das diese ihre täglich arbeit machen können. dies ist leider ein überbleibsel des vorherigen sysadmins, der wohl schlichtweg zu faul war, eine andere lösung zu suchen. ich möchte unbedingt die benutzer des supports so beschränken, das diese nur folgende aufgaben machen können:
wie kann ich dies am einfachsten lösen? ich probiere momentan ein wenig mit den delegationen innerhalb des DC aus.
danke für eure hilfe
gruss
nowhereman
ich habe wieder mal eine frage, wo ich nicht ganz weis, wie ich dies lösen soll.
wir haben einen support, welcher momentan alle über einen domänen admin account verfügen, das diese ihre täglich arbeit machen können. dies ist leider ein überbleibsel des vorherigen sysadmins, der wohl schlichtweg zu faul war, eine andere lösung zu suchen. ich möchte unbedingt die benutzer des supports so beschränken, das diese nur folgende aufgaben machen können:
- Passwort entsperren auf der AD
- Erstellen von Benutzer, aber keine Computer oder andere Objekte wie Gruppen oder OU's
- Zugrif auf Freigaben im Netz
- Lokale Adminrechte auf allen Clients der Domäne
wie kann ich dies am einfachsten lösen? ich probiere momentan ein wenig mit den delegationen innerhalb des DC aus.
danke für eure hilfe
gruss
nowhereman
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179242
Url: https://administrator.de/contentid/179242
Ausgedruckt am: 26.11.2024 um 18:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo Nowhereman,
du wirst nicht darum kommen eine entsprechende Berechtigungsstruktur aufzu bauen.
Als erstes würde ich eine Gruppe erstellen und die entsprechenden Supporter dort eingruppieren.
Dann kannst du diese Gruppe an den entsprechenden Sicherheitsstellen einsetzen.
Setze deien Benutzer in eine OU und bei dieser setzt du die Gruppe der Supporter mit entsprechender Berechtigung
Genauso die Zugriffsberechtigungern zu Freigaben im Netz.
Das mit den Lokalen Adminrechten kannst du mit GPO setzen --Aber Achtung bei Adminrechten auf Servern.
Gruß
du wirst nicht darum kommen eine entsprechende Berechtigungsstruktur aufzu bauen.
Als erstes würde ich eine Gruppe erstellen und die entsprechenden Supporter dort eingruppieren.
Dann kannst du diese Gruppe an den entsprechenden Sicherheitsstellen einsetzen.
Setze deien Benutzer in eine OU und bei dieser setzt du die Gruppe der Supporter mit entsprechender Berechtigung
Genauso die Zugriffsberechtigungern zu Freigaben im Netz.
Das mit den Lokalen Adminrechten kannst du mit GPO setzen --Aber Achtung bei Adminrechten auf Servern.
Gruß
Hallo,
Kanns du damit etwas anfangen?
Zitat von @nowhereman:
Dies kannst du lösen, indem du mit der Objektverwaltung arbeitest, soll heißen, Delegierung.- Passwort entsperren auf der AD
- Erstellen von Benutzer, aber keine Computer oder andere Objekte wie Gruppen oder OU's
* Zugrif auf Freigaben im Netz
Über Gruppen* Lokale Adminrechte auf allen Clients der Domäne
Über das GPO Eingeschränkte GruppenKanns du damit etwas anfangen?
Erstellen von Benutzer, aber keine Computer oder andere Objekte wie Gruppen oder OU's
Gegenfrage: Du weißt das jeder Benutzer im AD Computer hinzufügen kann?
