DomainAdmin-Rechte Einschränken
Hi...
wir haben einen Benutzer, welcher DomainAdmin-Rechte besitzt. Er soll nun aber nur das Recht besitzen um Software installieren zu können und PCs (oder MACs) in die AD aufzunehmen. Er soll aber z.B. nicht auf unserem FileServer alles löschen können usw.
Kann man dies irgendwie machen? Evtl. über GPOs?
Info: AD (Windows Server 2008)
Gruß
deb10er0
wir haben einen Benutzer, welcher DomainAdmin-Rechte besitzt. Er soll nun aber nur das Recht besitzen um Software installieren zu können und PCs (oder MACs) in die AD aufzunehmen. Er soll aber z.B. nicht auf unserem FileServer alles löschen können usw.
Kann man dies irgendwie machen? Evtl. über GPOs?
Info: AD (Windows Server 2008)
Gruß
deb10er0
Please also mark the comments that contributed to the solution of the article
Content-ID: 265420
Url: https://administrator.de/contentid/265420
Printed on: October 9, 2024 at 17:10 o'clock
5 Comments
Latest comment
Moin,
nein das ist nicht möglich.
Ein Admin kann sich selbst immer wieder mehr Rechte geben.
Zum aufnehmen in die AD benötigt man aber nicht zwangsläufig Domain Admin Rechte.
http://support.microsoft.com/kb/243327/en-us
VG
nein das ist nicht möglich.
Ein Admin kann sich selbst immer wieder mehr Rechte geben.
Zum aufnehmen in die AD benötigt man aber nicht zwangsläufig Domain Admin Rechte.
http://support.microsoft.com/kb/243327/en-us
VG
lege eine neue regel an (don't touch Default Domain Policy !!!)
Computer \ Richtlinien \ Windows Einstellungen\sicherheitseinstellungen \ lokale Richtlinien \zuweisen von benutzerrechten
wert: hinzufügen von Arbeitsstationen zur Domäne
mach ne ad-gruppe "Domain-join-erlaubt"... die packst du in den gpo-wert
und als Ergebnis kannst du im ad User in die gruppe "domain-join-erlaubt" reinpacken und musst nicht die gpo anfassen ;)
gutes gelingen ;)
Computer \ Richtlinien \ Windows Einstellungen\sicherheitseinstellungen \ lokale Richtlinien \zuweisen von benutzerrechten
wert: hinzufügen von Arbeitsstationen zur Domäne
mach ne ad-gruppe "Domain-join-erlaubt"... die packst du in den gpo-wert
und als Ergebnis kannst du im ad User in die gruppe "domain-join-erlaubt" reinpacken und musst nicht die gpo anfassen ;)
gutes gelingen ;)