deb10er0
Goto Top

DomainAdmin-Rechte Einschränken

Hi...
wir haben einen Benutzer, welcher DomainAdmin-Rechte besitzt. Er soll nun aber nur das Recht besitzen um Software installieren zu können und PCs (oder MACs) in die AD aufzunehmen. Er soll aber z.B. nicht auf unserem FileServer alles löschen können usw.

Kann man dies irgendwie machen? Evtl. über GPOs?

Info: AD (Windows Server 2008)

Gruß
deb10er0

Content-ID: 265420

Url: https://administrator.de/contentid/265420

Printed on: October 9, 2024 at 17:10 o'clock

BirdyB
BirdyB Mar 06, 2015 at 08:22:22 (UTC)
Goto Top
Hallo Fremder

Hilf uns dich zu mögen... Sei mal etwas höflicher und sage uns, was du eigentlich willst...

Beste Grüße!


Berthold
sk-it83
sk-it83 Mar 06, 2015 at 08:24:58 (UTC)
Goto Top
Moin,

nein das ist nicht möglich.

Ein Admin kann sich selbst immer wieder mehr Rechte geben.

Zum aufnehmen in die AD benötigt man aber nicht zwangsläufig Domain Admin Rechte.

http://support.microsoft.com/kb/243327/en-us

VG
neueradmuser
neueradmuser Mar 06, 2015 at 08:26:32 (UTC)
Goto Top
geht man da nicht eher den umgekehrten weg (würde ich so machen) und entzieht ihm die dom-admin rechte und gibt seinem user-Konto nur das recht auf Installation und domjoin?
der domjoin läßt sich per gpo regeln

ich würde lieber 2 rechte hinzufügen als zig hundert zu denien...

Gruß face-smile
deb10er0
deb10er0 Mar 06, 2015 at 08:28:49 (UTC)
Goto Top
Das hört sich gut an. Kannst du mir auch bitte gleich verraten wo ich diese Regel genau finde?
neueradmuser
Solution neueradmuser Mar 06, 2015 updated at 08:46:17 (UTC)
Goto Top
lege eine neue regel an (don't touch Default Domain Policy !!!)

Computer \ Richtlinien \ Windows Einstellungen\sicherheitseinstellungen \ lokale Richtlinien \zuweisen von benutzerrechten
wert: hinzufügen von Arbeitsstationen zur Domäne

mach ne ad-gruppe "Domain-join-erlaubt"... die packst du in den gpo-wert

und als Ergebnis kannst du im ad User in die gruppe "domain-join-erlaubt" reinpacken und musst nicht die gpo anfassen ;)

gutes gelingen ;)