matze-pe
Goto Top

beschränkte Admin Rechte

Hallo,
ich habe ein Windows Server 2000 mit AD. Demnächst bekommen wir einen Azubi, der ein eigenes eingeschränktes Konto bekommen soll.

Er darf Rechner der Domäne hinzufügen, aber keine Konten im AD anlegen/ändern oder löschen.
Sowie neue Verbindungen herstellen, darf er auch nicht.

Halt ein eingeschränkter Admin face-smile


Dazu lege ich ganz normal einen User an ( z.B. Azubi) und eine neue Gruppe (z.B. beschränkte Admins)


Wie kann ich denn der Gruppe "beschränkte Admins" jetzt die genannten Berechtigungen vergeben?


mfg
Matze

Content-ID: 83317

Url: https://administrator.de/forum/beschraenkte-admin-rechte-83317.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

jenzi87
jenzi87 17.03.2008 um 15:38:26 Uhr
Goto Top
Hi matze,

also wenn dann kannst du das wahrscheinlich nur über die GPOs machen.

Gruß
matze-pe
matze-pe 17.03.2008 um 15:54:16 Uhr
Goto Top
das ist doch, wenn ich unter start->ausführen "gpedit.msc" eingebe, oder?

Wenn das der Gruppenrichtlinien-Editor sein soll, dort kann ich ja keine Rechte für bestimmte Gruppen festlegen.


mfg
Matze
nEmEsIs
nEmEsIs 17.03.2008 um 16:15:00 Uhr
Goto Top
hi
im ad gehst du auf die Organisations Einheit und machst dort einen Rechtsklick dort Eigenschaften und dort auf gruppenrichtlinien bearbeiten dort kannst du alles machen was du willst
mfg Nemesis
matze-pe
matze-pe 17.03.2008 um 16:32:00 Uhr
Goto Top
Vielen Dank,
das werde ich mal probieren


mfg
Matze
Dani
Dani 17.03.2008 um 19:25:42 Uhr
Goto Top
Hi Matze,
also das mit dem GPO ist der falsche Weg. Denn diese werden benutzt um den Clients Einstellungen etc mit zu übergeben. Jedoch werden die Rechte nicht auf dem Client vergeben sondern auf dem DC.

@jenzi#87 Denk mal über die Struktur nochmal nach? Woher soll ein Client wissen, der nicht in der Domäne ist das er erstmal die GPO beziehen soll bzw. eigentlich gar nicht darf.
Soweit ich weiß, muss der Benutzer auf jeden Fall in der Gruppe "Server-Operatoren" sein. Zusätzlich musst du noch über den Rechtsklick-Objekte zuweisen... (siehe Kommentar nEmEsIs ) die entsprechende Rechte hinzufügen.


Gruß
Dani
matze-pe
matze-pe 18.03.2008 um 13:13:07 Uhr
Goto Top
das klappt aber so, dere benutzer gehört den domänen admin an, und jetzt kann ich in der gpo die spieziellen einstellungen vornehmen.


Eine Frage hätt eich noch:
Wo finde ich den Eintrag für die Verwaltung, die ich unter Start -> Programme -> Verwaltung ausschalten kann?
Die Anmeldung erfolgt an einem Server.

Wo kann ich das denn im Gruppenrichtlinieneditor deaktivieren?


mfg
Matze
Dani
Dani 18.03.2008 um 13:23:41 Uhr
Goto Top
Hi Matze,
ich habe gedacht, du willst ihm nur das Recht geben, Clients in die Domäne aufzunehmen und mehr nicht?!


Grüße
Dani
matze-pe
matze-pe 18.03.2008 um 13:34:26 Uhr
Goto Top
NJa, er wird sich für andere Tätigkeiten mit dem User auch am Server anmelden müssen.

Und da gibts unter Start -> Porgramme den Ordner "Verwaltung", den möchte ich gerne für den User nicht angezeigt bekommen.


Gruß
Matze
aschinnerl
aschinnerl 22.03.2008 um 00:24:58 Uhr
Goto Top
Möchtest du das er sich auch an der Domäne anmelden kann?
matze-pe
matze-pe 24.03.2008 um 22:31:41 Uhr
Goto Top
Ja, das soll er auch.

Er ist jetzt gerade in der Gruppe der "Domänen-Admin", also er kann auch auf die Ordnerstruktur die Berechtigungen ändern!


Wo kann ich das denn in der GPO ändern?


mfg
Matze