4
Domain Admin in andere OU verschieben?
Hallo zusammen,
macht man sich Probleme wenn man den Domain Admin im AD in eine andere OU verschiebt?
Der Domain Admin ist ja standardmäßig unter Users, für alle anderen User habe ich eine neue OU angelegt...
Grund der Frage ist das Thema Gruppenrichtlinien.. Ich will die GPOs nicht unter dem Domainkopf aufhängen, sondern eben unter der OU wo die User drin sind.
Das geht aber natürlich nicht für die OU "Users", weil diese im GPO Editor nicht angezeigt wird.
Kann das Probleme machen, wenn ich den Domain Admin verschiebe? Oder ist das "für seine Tätigkeit als Domain Admin" egal in welcher OU er liegt? Die Rechte behält er durch seine Gruppenzugehörigkeiten natürlich.
Beste Grüße, SirTobi27
macht man sich Probleme wenn man den Domain Admin im AD in eine andere OU verschiebt?
Der Domain Admin ist ja standardmäßig unter Users, für alle anderen User habe ich eine neue OU angelegt...
Grund der Frage ist das Thema Gruppenrichtlinien.. Ich will die GPOs nicht unter dem Domainkopf aufhängen, sondern eben unter der OU wo die User drin sind.
Das geht aber natürlich nicht für die OU "Users", weil diese im GPO Editor nicht angezeigt wird.
Kann das Probleme machen, wenn ich den Domain Admin verschiebe? Oder ist das "für seine Tätigkeit als Domain Admin" egal in welcher OU er liegt? Die Rechte behält er durch seine Gruppenzugehörigkeiten natürlich.
Beste Grüße, SirTobi27
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 281989
Url: https://administrator.de/contentid/281989
Ausgedruckt am: 13.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
kannst du verschieben wie du lustig bist. Bedenke bloß, dass im Zweifel dann andere GPO´s auf ihn wirken.
Grüße,
Tiberius
kannst du verschieben wie du lustig bist. Bedenke bloß, dass im Zweifel dann andere GPO´s auf ihn wirken.
Grüße,
Tiberius
Hi,
prinzipiell kann Du den verschieben, das geht ohne weiteres. Aber ich kann es Dir aus min. 2 Gründen empfehlen, es nicht zu tun.
E.
prinzipiell kann Du den verschieben, das geht ohne weiteres. Aber ich kann es Dir aus min. 2 Gründen empfehlen, es nicht zu tun.
- Sollte man DEN Administrator nicht verändern und auch nicht dessen Umgebung über GPO einschränken
- auch nur dann benutzen (sich damit anmelden) wenn es sein muss.
E.
Danke für die Kommentare.
Naja, ich würde ja dann eine neue OU "Admin Account" oder wie auch immer machen, halt eine OU die im GPO Editor benutzbar ist...
Auf diese OU würde ich dann nur GPOs anwenden, die z.B. Laufwerke mappen, darum gehts primär...
Und ganz allgemeine OUs, eben welche die direkt unter der Domain aufgehangen sind, bekommt der Domain Admin ja jetzt auch schon...
Naja, ich würde ja dann eine neue OU "Admin Account" oder wie auch immer machen, halt eine OU die im GPO Editor benutzbar ist...
Auf diese OU würde ich dann nur GPOs anwenden, die z.B. Laufwerke mappen, darum gehts primär...
Und ganz allgemeine OUs, eben welche die direkt unter der Domain aufgehangen sind, bekommt der Domain Admin ja jetzt auch schon...
Worauf emeriks hinaus wollte:
Du solltest den! Domänen-Admin im Normalfall nicht verwenden, sondern einen neu erstellten. Dann kommst du auch nicht in die Verlegenheit, dafür Laufwerke zu benötigen.
Problem ist, wenn du irgendwann einmal eine falsch-konfigurierte GPO hast und ihn damit einschränkst, könntest du Probleme bekommen.
Du solltest den! Domänen-Admin im Normalfall nicht verwenden, sondern einen neu erstellten. Dann kommst du auch nicht in die Verlegenheit, dafür Laufwerke zu benötigen.
Problem ist, wenn du irgendwann einmal eine falsch-konfigurierte GPO hast und ihn damit einschränkst, könntest du Probleme bekommen.
