5
Domänen Benutzer, erweiterte Rechte aber kein Globaler Admin - geht das?
Hallo liebe Community,
wie bewerkstellige ich es, dass ein Mitarbeiter in Firma X kein globaler Administrator ist aber trotzdem erweiterte Rechte als ein Domänen Benutzer hat?
Folgende Möglichkeiten soll dieser Benutzer haben:
- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern
Ich wühle jetzt einmal in der Kiste und vermute, dass man dies irgendwie mit einer GPO hinbekommt. Aber irgendwie komme ich nicht weiter.
kann mir hier einer helfen?
LG, Frank
wie bewerkstellige ich es, dass ein Mitarbeiter in Firma X kein globaler Administrator ist aber trotzdem erweiterte Rechte als ein Domänen Benutzer hat?
Folgende Möglichkeiten soll dieser Benutzer haben:
- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern
Ich wühle jetzt einmal in der Kiste und vermute, dass man dies irgendwie mit einer GPO hinbekommt. Aber irgendwie komme ich nicht weiter.
kann mir hier einer helfen?
LG, Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252511
Url: https://administrator.de/contentid/252511
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Ist die SuFu im Forum kaputt? :P
- Den enstprechenden User in die Domain-Gruppe aufnehmen.
lg,
Slainte
Ist die SuFu im Forum kaputt? :P
- an allen PC's (alle in der Domäne) mit seinen Domänen-Anmeldedaten lokale Adminrechte
- Per GPO eine Domain-Gruppe der lokalen Admin Gruppe hinzufügen- Den enstprechenden User in die Domain-Gruppe aufnehmen.
- er soll sich an den Servern anmelden können aber nichts installieren dürfen. Auch darf er dort keine Rollen deinstallieren. Eigentlich soll er nur Netzlaufwerk-Freigaben erzeugen dürfen
Admin sein ohne Admin zu sein geht nicht. Wenn er lokaler Admin ist, darf er den Server auch in Gänze verwalten.- er muss die Berechtigung haben Sicherheitsgruppen bzw. Ntfs Berechtigungen auf Ordner zu setzen bzw. diese zu ändern
Dazu braucht er des Recht "Vollzugriff" auf die entsprechenden Order. Wenn er schon lok. Admin ist brauchst du nichts mehr extra machen.Ich wühle jetzt einmal in der Kiste...
SuFu / Google - und du wärst schon am Ziel lg,
Slainte
erstmal danke für deine Hilfe
Aber die SuFu habe ich dazu betätigt. Jedoch nichts gefunden was für meine Anforderung passt. Du sagst ja selbst, dass man als Admin mit lokalen rechten auch den Server in Gänze verwalten darf. Genau hier liegt der Knackpunkt. Er darf dies eben nicht machen.
Also gibt es keine Möglichkeit meine Anforderungen genau wie oben beschrieben umzusetzen?
LG
Hi.
Du hast 3 Anforderungen gestellt:
-Admin an den Clients ->Lösung siehe Slainte
-Berechtigungen auf Odner ->dito
-Logon am Server->Anmeldeberechtigung vergeben | Freigaben: das erfordert Adminrechte, aber Du kannst einen Workaround nutzen: lass ihn eine Textdatei befüllen und gib ihm das Recht, einen geplanten Task zu starten, der aus dieser Textdatei die Argumente nimmt und mit hohen Rechten (System) verarbeitet.
geht so: Form der Textdatei (c:\test\Text.txt) ist hier im Beispiel nur eine Zeile:
testfreigabe c:\test
Form des Tasks: Batch mit
For /f "tokens=1,2" %%a in (c:\test\text.txt) do net share %%a=%%b
Wichtig: er darf den Task zwar starten können, aber auf keinen Fall ändern.
Du hast 3 Anforderungen gestellt:
-Admin an den Clients ->Lösung siehe Slainte
-Berechtigungen auf Odner ->dito
-Logon am Server->Anmeldeberechtigung vergeben | Freigaben: das erfordert Adminrechte, aber Du kannst einen Workaround nutzen: lass ihn eine Textdatei befüllen und gib ihm das Recht, einen geplanten Task zu starten, der aus dieser Textdatei die Argumente nimmt und mit hohen Rechten (System) verarbeitet.
geht so: Form der Textdatei (c:\test\Text.txt) ist hier im Beispiel nur eine Zeile:
testfreigabe c:\test
Form des Tasks: Batch mit
For /f "tokens=1,2" %%a in (c:\test\text.txt) do net share %%a=%%b
Wichtig: er darf den Task zwar starten können, aber auf keinen Fall ändern.
N'Abend.
Anmeldung am Server klappt für normale User, wenn man sie z.B. Mitglied der Gruppe "Print Operators" macht (sogar an einem DC),
Das Verwalten der Netzlaufwerke könnte über eine angepasste MMC klappen (pure Theorie; so noch nie ausprobiert).
Cheers,
jsysde
Anmeldung am Server klappt für normale User, wenn man sie z.B. Mitglied der Gruppe "Print Operators" macht (sogar an einem DC),
Das Verwalten der Netzlaufwerke könnte über eine angepasste MMC klappen (pure Theorie; so noch nie ausprobiert).
Cheers,
jsysde
Danke für eure Hilfe
Dann müssen wir mal schauen wie wir das geforderte bewerkstelligen.
LG
Dann müssen wir mal schauen wie wir das geforderte bewerkstelligen.
LG
