sirtobi27
Goto Top

Domain Admin in andere OU verschieben?

Hallo zusammen,
macht man sich Probleme wenn man den Domain Admin im AD in eine andere OU verschiebt?
Der Domain Admin ist ja standardmäßig unter Users, für alle anderen User habe ich eine neue OU angelegt...

Grund der Frage ist das Thema Gruppenrichtlinien.. Ich will die GPOs nicht unter dem Domainkopf aufhängen, sondern eben unter der OU wo die User drin sind.
Das geht aber natürlich nicht für die OU "Users", weil diese im GPO Editor nicht angezeigt wird.

Kann das Probleme machen, wenn ich den Domain Admin verschiebe? Oder ist das "für seine Tätigkeit als Domain Admin" egal in welcher OU er liegt? Die Rechte behält er durch seine Gruppenzugehörigkeiten natürlich.

Beste Grüße, SirTobi27

Content-ID: 281989

Url: https://administrator.de/contentid/281989

Ausgedruckt am: 13.11.2024 um 07:11 Uhr

TlBERlUS
TlBERlUS 04.09.2015 um 13:58:36 Uhr
Goto Top
Hi,

kannst du verschieben wie du lustig bist. Bedenke bloß, dass im Zweifel dann andere GPO´s auf ihn wirken.

Grüße,

Tiberius
emeriks
emeriks 04.09.2015 um 14:00:26 Uhr
Goto Top
Hi,
prinzipiell kann Du den verschieben, das geht ohne weiteres. Aber ich kann es Dir aus min. 2 Gründen empfehlen, es nicht zu tun.
  1. Sollte man DEN Administrator nicht verändern und auch nicht dessen Umgebung über GPO einschränken
  2. auch nur dann benutzen (sich damit anmelden) wenn es sein muss.
Sprich, wenn Du einen Domänen-Admin brauchst, mit welchem Du "täglich" arbeiten kannst, dann kopieren DEN Administrator und arbeite mit der Kopie. Diese kannst Du dann auch verschieben, wohin Du willst.

E.
SirTobi27
SirTobi27 04.09.2015 um 14:08:06 Uhr
Goto Top
Danke für die Kommentare.

Naja, ich würde ja dann eine neue OU "Admin Account" oder wie auch immer machen, halt eine OU die im GPO Editor benutzbar ist...
Auf diese OU würde ich dann nur GPOs anwenden, die z.B. Laufwerke mappen, darum gehts primär...
Und ganz allgemeine OUs, eben welche die direkt unter der Domain aufgehangen sind, bekommt der Domain Admin ja jetzt auch schon...
TlBERlUS
TlBERlUS 04.09.2015 um 14:14:24 Uhr
Goto Top
Worauf emeriks hinaus wollte:
Du solltest den! Domänen-Admin im Normalfall nicht verwenden, sondern einen neu erstellten. Dann kommst du auch nicht in die Verlegenheit, dafür Laufwerke zu benötigen.
Problem ist, wenn du irgendwann einmal eine falsch-konfigurierte GPO hast und ihn damit einschränkst, könntest du Probleme bekommen.