5
DomainAdmin-Rechte Einschränken
Hi...
wir haben einen Benutzer, welcher DomainAdmin-Rechte besitzt. Er soll nun aber nur das Recht besitzen um Software installieren zu können und PCs (oder MACs) in die AD aufzunehmen. Er soll aber z.B. nicht auf unserem FileServer alles löschen können usw.
Kann man dies irgendwie machen? Evtl. über GPOs?
Info: AD (Windows Server 2008)
Gruß
deb10er0
wir haben einen Benutzer, welcher DomainAdmin-Rechte besitzt. Er soll nun aber nur das Recht besitzen um Software installieren zu können und PCs (oder MACs) in die AD aufzunehmen. Er soll aber z.B. nicht auf unserem FileServer alles löschen können usw.
Kann man dies irgendwie machen? Evtl. über GPOs?
Info: AD (Windows Server 2008)
Gruß
deb10er0
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265420
Url: https://administrator.de/contentid/265420
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Fremder
Hilf uns dich zu mögen... Sei mal etwas höflicher und sage uns, was du eigentlich willst...
Beste Grüße!
Berthold
Hilf uns dich zu mögen... Sei mal etwas höflicher und sage uns, was du eigentlich willst...
Beste Grüße!
Berthold
Moin,
nein das ist nicht möglich.
Ein Admin kann sich selbst immer wieder mehr Rechte geben.
Zum aufnehmen in die AD benötigt man aber nicht zwangsläufig Domain Admin Rechte.
http://support.microsoft.com/kb/243327/en-us
VG
nein das ist nicht möglich.
Ein Admin kann sich selbst immer wieder mehr Rechte geben.
Zum aufnehmen in die AD benötigt man aber nicht zwangsläufig Domain Admin Rechte.
http://support.microsoft.com/kb/243327/en-us
VG
geht man da nicht eher den umgekehrten weg (würde ich so machen) und entzieht ihm die dom-admin rechte und gibt seinem user-Konto nur das recht auf Installation und domjoin?
der domjoin läßt sich per gpo regeln
ich würde lieber 2 rechte hinzufügen als zig hundert zu denien...
Gruß
der domjoin läßt sich per gpo regeln
ich würde lieber 2 rechte hinzufügen als zig hundert zu denien...
Gruß
Das hört sich gut an. Kannst du mir auch bitte gleich verraten wo ich diese Regel genau finde?
lege eine neue regel an (don't touch Default Domain Policy !!!)
Computer \ Richtlinien \ Windows Einstellungen\sicherheitseinstellungen \ lokale Richtlinien \zuweisen von benutzerrechten
wert: hinzufügen von Arbeitsstationen zur Domäne
mach ne ad-gruppe "Domain-join-erlaubt"... die packst du in den gpo-wert
und als Ergebnis kannst du im ad User in die gruppe "domain-join-erlaubt" reinpacken und musst nicht die gpo anfassen ;)
gutes gelingen ;)
Computer \ Richtlinien \ Windows Einstellungen\sicherheitseinstellungen \ lokale Richtlinien \zuweisen von benutzerrechten
wert: hinzufügen von Arbeitsstationen zur Domäne
mach ne ad-gruppe "Domain-join-erlaubt"... die packst du in den gpo-wert
und als Ergebnis kannst du im ad User in die gruppe "domain-join-erlaubt" reinpacken und musst nicht die gpo anfassen ;)
gutes gelingen ;)
