17
Domänenadministrator für Azubi
Hallo zusammen,
bei uns in der IT hat vor kurzem ein neuer Azubi angefangen. Wir würden ihm gerne zu den normalen Domänenbenutzerrechten zusätzliche Rechte zur Einbindung von PCs in die Domäne geben. Außerdem soll er mit dem Account Installationen auf den PCs durchführen können. Momentan macht er das über die lokalen Adminrechte, was aber nervt da jeder PC ein eigenes Passwort hat.
Gibt es hier eine Möglichkeit dem normalen Domänenbenutzer mehr Rechte zu geben oder einem kopierten Domänenadmin die Rechte zu beschneiden? Er soll sich vorerst nicht auf den Servern anmelden oder im Active Directory Änderungen durchführen können.
Vorab schon mal vielen Dank für die Hilfe !
bei uns in der IT hat vor kurzem ein neuer Azubi angefangen. Wir würden ihm gerne zu den normalen Domänenbenutzerrechten zusätzliche Rechte zur Einbindung von PCs in die Domäne geben. Außerdem soll er mit dem Account Installationen auf den PCs durchführen können. Momentan macht er das über die lokalen Adminrechte, was aber nervt da jeder PC ein eigenes Passwort hat.
Gibt es hier eine Möglichkeit dem normalen Domänenbenutzer mehr Rechte zu geben oder einem kopierten Domänenadmin die Rechte zu beschneiden? Er soll sich vorerst nicht auf den Servern anmelden oder im Active Directory Änderungen durchführen können.
Vorab schon mal vielen Dank für die Hilfe !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127080
Url: https://administrator.de/contentid/127080
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
17 Kommentare
Neuester Kommentar
Delegierung von Benutzerrechten ist das Stichwort, einfach mal über "Active Directory Benutzer und Computer" dem Benutzer genau die Rechte geben, die er braucht, heute muß keiner mehr Domänen-Admin sein um solche Sachen machen zu dürfen/können, zum Glück 
Es gibt auch genügend Gruppenrichtlinien wo man Benutzern Rechte geben kann wie zum Beispiel Computer in die Domain hinzufügen.
Bzw gibt man es den Gruppen und schiebt dort die Benutzer rein, ist evt. nicht der letzte Azubi ;)
Gruß
Bzw gibt man es den Gruppen und schiebt dort die Benutzer rein, ist evt. nicht der letzte Azubi ;)
Gruß
Warum fügst du den Azubi nicht einfach in der Gruppe der Lokalen Administratoren hinzu ?
Klar das geht auch, aber ich bin der Meinung man sollte einmal 5 Minuten mehr Zeit investieren und Gruppen richtig konfigurieren, denn dann erspart man sich beim nächsten mal den Stress.
Gruß
Gruß
Ich habe das Problem jetzt soweit gelöst. Ich habe eine neue Gruppe IT-Azubis erstellt und diese in die Gruppe der lokalen Administratoren aufgenommen. Anschließend habe ich die Default Domain Controller Policy dahingehend abgeändert, dass IT_Azubis und die Domänenadmins Rechner in die Domäne aufnehmen können. Habe noch 2 Testuser angelegt. Funktioniert.
Danke nochmal für eure schnelle Hilfe!
Danke nochmal für eure schnelle Hilfe!
kaldron ist halt doch der beste
Das Stichwort heißt A-G-DL-P-Strategie. Kann man bei MS nachschlagen.
Es geht nur darum , daß man eine feste Hierarchie erstellt
A=Account ist die unterste Ebene (Benutzerkonto)
G=Globale Gruppen erstellen (z.B. IT-Azubis)
DL=Domönenlokale Gruppen (z.B. lokale Admins)
P=Permissions oder Benutzerrechte
Die Accounts werrden Mitglieder in globalen Gruppen. Diese werden wiederum Dömänenlokalen Gruppen zugeordnet.
Dann werden Benutzerrechte zugewiesen (ggf. GP).
Damit ist eine klare und nachvollziehbare Struktur erstellt.
Es geht nur darum , daß man eine feste Hierarchie erstellt
A=Account ist die unterste Ebene (Benutzerkonto)
G=Globale Gruppen erstellen (z.B. IT-Azubis)
DL=Domönenlokale Gruppen (z.B. lokale Admins)
P=Permissions oder Benutzerrechte
Die Accounts werrden Mitglieder in globalen Gruppen. Diese werden wiederum Dömänenlokalen Gruppen zugeordnet.
Dann werden Benutzerrechte zugewiesen (ggf. GP).
Damit ist eine klare und nachvollziehbare Struktur erstellt.
Rechner in die Domäne aufnehmen kann jeder Domänenuser.
Für den Rest ein Install Konto anlegen!?
Für den Rest ein Install Konto anlegen!?
Was noch nicht erwähnt wurde: eingeschränkte Gruppen. So fügst Du mühelos allen lokalen Admingruppen die Domänengruppe Nachwuchs (oder was auch immer) hinzu.
jep, haben einen admin.install angelegt, der auch zugriff auf das install-netzlaufwerk hat. zudem kann dieser admin auch rechner in die domäne einbinden.
dass jeder domänenuser rechner in eine domäne einbinden kann, ist bei uns nicht der fall (ob das generell so ist oder auch nicht kann ich nicht sagen)
dass jeder domänenuser rechner in eine domäne einbinden kann, ist bei uns nicht der fall (ob das generell so ist oder auch nicht kann ich nicht sagen)
Rechner in die Domäne aufnehmen kann jeder Domänenuser.
Wenn diese Aussage richtig wäre, könnte jeder Benutzer seinen privaten Notebook mitnehmen und in die Domäne aufnehmen, da nämlich standardmässig die primäre Gruppe eines Benutzer-Kontos im AD die Gruppe "Domänen-Benutzer" oder auf English "Domain Users" ist. Diese Aussage ist definitiv falsch.
Wenn diese Aussage richtig wäre, könnte jeder Benutzer
seinen privaten Notebook mitnehmen und in die Domäne aufnehmen,
da nämlich standardmässig die primäre Gruppe eines
Benutzer-Kontos im AD die Gruppe "Domänen-Benutzer"
oder auf English "Domain Users" ist. Diese Aussage ist
definitiv falsch.
seinen privaten Notebook mitnehmen und in die Domäne aufnehmen,
da nämlich standardmässig die primäre Gruppe eines
Benutzer-Kontos im AD die Gruppe "Domänen-Benutzer"
oder auf English "Domain Users" ist. Diese Aussage ist
definitiv falsch.
das klingt mir irgendwie logisch
Könnte dieser User machen ja, wenn er ein Userkonto in der Domäne hat.
Nur was hat er davon? er ist ja dann an erstens an sein Konto gebunden und an Group policies...
Nur was hat er davon? er ist ja dann an erstens an sein Konto gebunden und an Group policies...
Könnte dieser User machen ja, wenn er ein Userkonto in der
Domäne hat.
Nur was hat er davon? er ist ja dann an erstens an sein Konto
gebunden und an Group policies...
Domäne hat.
Nur was hat er davon? er ist ja dann an erstens an sein Konto
gebunden und an Group policies...
einen rechner in die domäne einbinden, der schon in der domäne ist... ????
weil wenn der rechner noch nicht eingebunden ist kann er auch 2 benutzerkonten haben und es bringt nichts...
Der normale Domainnutzer darf das zu 100% nicht (in der Standartkonfiguration).
bei uns funktioniert es.
allerdings auch nur begrenzt... ca. 10-15 mal? dann kommt ne meldung das die aufnahme nicht mehr möglich ist.
Mir ist das aufgefallen als ich mehrere rechner in die Domäne aufnehmen wollte und nich immer das lange adminpasswort eingeben wollte hab ich nen user mit 5 buchstaben im namen und kennwort genommen.
allerdings auch nur begrenzt... ca. 10-15 mal? dann kommt ne meldung das die aufnahme nicht mehr möglich ist.
Mir ist das aufgefallen als ich mehrere rechner in die Domäne aufnehmen wollte und nich immer das lange adminpasswort eingeben wollte hab ich nen user mit 5 buchstaben im namen und kennwort genommen.
Die Aussage ist wahr, siehe http://technet.microsoft.com/en-us/library/cc976452.aspx. (Policy gilt übrigens nur auf DCs)
Nutzer dürfen 10 WKS aufnehmen. Was sie nicht dürfen, ist überschreiben von bestehenden, da dies einem Löschen gleich kommt.
Nutzer dürfen 10 WKS aufnehmen. Was sie nicht dürfen, ist überschreiben von bestehenden, da dies einem Löschen gleich kommt.
