5
Lokaler Admin im AD
Hallo, habe folgendes Problem: Wir installieren gerade ein AD auf Windows 2003 Servern über verschiedene Standorte verteilt, d.h. verschiedene Einrichtungen sind über ein VPN verbunden und haben ein gemeinsames AD. Um den Administrationsaufwand zu vermindern haben wir in jeder Einrichtung einen EDV-Ansprechpartner. Wie kann ich diesen Ansprechpartnern jeweils einen Benutzer zuweisen, damit sie nur Ihren Server administrieren können und nicht auf andere Standorte zugreifen können ? Hat jemand schon in einem ähnlichen Szenario das gleiche Problem gehabt ?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89603
Url: https://administrator.de/forum/lokaler-admin-im-ad-89603.html
Ausgedruckt am: 14.04.2025 um 22:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
nach einigem fischen in meinem kümmerlichen Hirn erinnerte mich selbiges an einen noch nicht allzu lange zurückliegenden Artikel:
http://www.heise.de/kiosk/archiv/ct/2008/11/200_Active_Directory_fuer_k ...
Hier wird u.A. eine Gruppe angelegt, welche auf ausgewählten Maschinen lokale Administrator-Rechte hat.
Grüße,
Ralf.
nach einigem fischen in meinem kümmerlichen Hirn erinnerte mich selbiges an einen noch nicht allzu lange zurückliegenden Artikel:
http://www.heise.de/kiosk/archiv/ct/2008/11/200_Active_Directory_fuer_k ...
Hier wird u.A. eine Gruppe angelegt, welche auf ausgewählten Maschinen lokale Administrator-Rechte hat.
Grüße,
Ralf.
Da hilft die ganz normale GPO für lokale Adminrechte, für die einzelnen Standorte mußt du evtl. etwas modifizieren:
Benutzer mit Administratorenrechten?
geTuemII
Benutzer mit Administratorenrechten?
geTuemII
Hallo, erstmal danke für eure Beiträge. Vielleicht ist die Problemstellung noch nicht ganz klar: Wie man Dom-Benutzer lokale admin-Rechte auf Ihren PC's geben kann, ist mir klar. Ich meinte admin-rechte für den Server, um den AD-Server für den jeweiligen Standort administrieren zu können, ohne das dieser sich durch das
ganze Netzwerk der anderen Standorte browsen kann.
Schon mal danke für eure Antworten !
ganze Netzwerk der anderen Standorte browsen kann.
Schon mal danke für eure Antworten !
Nur so aus dem Gedächnis:
Da gab es doch im AD für die einzelnen Objekte in den Eigenschften ein Register Verwaltet von. Das sollte es auch für den einzelnen DC geben.
geTuemII
Da gab es doch im AD für die einzelnen Objekte in den Eigenschften ein Register Verwaltet von. Das sollte es auch für den einzelnen DC geben.
geTuemII
Hallo,
einen lokalen Admin kann es prinzipiell auf einem DC nicht geben. Es bleibt somit der von geTuemII skizzierte Ansatz. Zusätzlich müssen dann auch die Zuständigkeiten innerhalb des AD selbst geregelt werden, damit nicht das ganze AD durch einen Standort-Admin gestört werden kann.
Grüße, Steffen
einen lokalen Admin kann es prinzipiell auf einem DC nicht geben. Es bleibt somit der von geTuemII skizzierte Ansatz. Zusätzlich müssen dann auch die Zuständigkeiten innerhalb des AD selbst geregelt werden, damit nicht das ganze AD durch einen Standort-Admin gestört werden kann.
Grüße, Steffen
