woylee
Goto Top

domainadmin nur mit leserechten

Active Directory Benutzergruppe

Hallo es geht um folgendes:

Ich will einem User die Möglichkeit geben, sich auf allen unseren Servern anmelden zu dürfen - möchte ihm aber vorerst nur Leserechte geben. Also kurz und knapp ich möchte eine Usergruppe Domain Admin (aber nur Leserechte) - der jenige soll nicht die Möglichkeit haben, irgend etwas verändern zu können.

Was ist hier die beste Möglichkeit.

Vielen Dank,
Gruss,
woylee

Content-ID: 120703

Url: https://administrator.de/forum/domainadmin-nur-mit-leserechten-120703.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

maretz
maretz 17.07.2009 um 12:45:41 Uhr
Goto Top
punkt 1: guck mal in die Sicherheitsrichtlinie für Domain-Controller -> dort findest du iirc einen Punkt "Lokale Anmeldung zulassen" -> dem User dieses Recht geben

punkt 2: Den User einfach zu Domain-Admins hinzufügen - mit allen Folgen...

ABER: Generell stellt sich die Frage warum ein einfacher User sich auf dem Server anmelden sollte -> da er dort idR. nicht viel machen kann. Denn da sollten keine Programme o.ä. drauf laufen die der User direkt verwenden muss...
woylee
woylee 17.07.2009 um 12:47:35 Uhr
Goto Top
um sich über dameware beispielsweise die ganzen eventlogs anschauen zu könnern face-smile
maretz
maretz 17.07.2009 um 12:49:24 Uhr
Goto Top
dafür würde ich dem einfach eine entsprechende berechtigung geben -> da kann er sich dann am lokalen computer die Erreignisanzeige aufrufen und mit Rechtsklick "Verbindung zu anderem Computer herstellen" den Server auswählen...

Dann sieht er aber eben wirklich NUR diesen Punkt - und kommt nich auf die Idee woanders zu spielen...
Destry
Destry 17.07.2009 um 12:54:28 Uhr
Goto Top
Hallo woylee,

dazu braucht er nicht dameware. Dazu musst er sich nicht mal am Server anmelden.

Im Programm "Computerverwaltung" in der ersten Zeile mit rechts auf "Computerverwaltung" klicken und auf "Verbindung mit anderem Computer herstellen..." klicken. Servername eingeben. Fertig.

Um die Ereignisanzeige zu lesen reichts.

Ups, da war einer schneller.

Gruss,
Destry
woylee
woylee 17.07.2009 um 13:02:34 Uhr
Goto Top
es geht darum, dass ein intern von uns mit dameware sich alle prozesse eventlogs und status der hdds anschauen kann...
woylee
woylee 17.07.2009 um 13:20:31 Uhr
Goto Top
zugriff verweigert -> im moment nur domänenuser -> es handelt sich aber um domänen controller die überprüft werden sollen -> ich glaub da muss ich dann doch über gruppenrichtlinien gehen?
60730
60730 17.07.2009 um 23:36:13 Uhr
Goto Top
Servus,

  • besorg dir den logparser von MS
  • baue eine Abfrage, die dir alle Fehlermeldungen gefiltert ausgibt
  • lese das log selber ein "user" ist mit der Auswertung eh überfordert face-wink

Alles andere ist Kürpfuschen und eines echten Admin nicht würdig. dameware ist absolutes nogo

Gruß
woylee
woylee 23.07.2009 um 15:41:47 Uhr
Goto Top
Hallo Timo,

vielen Dank für den Tipp - Logparser sieht aufjedenfall sehr mächtig aus. Ich will mir jetzt eine Abfrage bauen, die von allen Servern alle Warnungen und Filter eines bestimmten Tages herausfiltert. Gibt es da irgendwo Beispiele zu finden?

Update:

so sieht im Moment meine queryDef aus:

SELECT TimeGenerated, EventID, ComputerName, SID, Message, Data, SourceName, EventTypeName, EventCategory

From
\\server1\system

To output.csv
where (eventTypeName='Error event')
ORDER by TimeGenerated DESC

Leider bekomme ich in der csv datei dann die komplette Eventlog ausgelesen... wie bekomme ich es hin, dass nur das aktuelle Datum bzw nur die lezten zwei Tage angezeigt werden. Und für Warnungen wäre dass dann Error warning?