friloo
Goto Top

MMC auf DC lässt sich nicht öffnen

Hallo zusammen,

wir haben eine Langzeitpraktikanten, der demnächst seine Ausbildung bei uns machen soll. Nun ist es so, dass dieser auch im AD und auf dem DC arbeiten soll, allerdings eingeschränkt.

Wir haben demjenigen nun die Anmeldung per RDP am DC ermöglicht, ohne das er Administrationsrechte hat und haben ihm auch für einzelne OUs Berechtigungen im AD gegeben.

Das einzige Problem, was wir aktuell haben ist, dass er die MMC nicht öffnen kann, da er dafür auf dem DC Adminrechte braucht.

Nun zur Frage: Wie berechtige ich auf die MMC? Ich stehe irgendwie auf dem Schlauch und finde den Fehler nicht.

Content-ID: 7013620261

Url: https://administrator.de/contentid/7013620261

Printed on: December 2, 2024 at 12:12 o'clock

3063370895
Solution 3063370895 May 04, 2023 updated at 11:04:03 (UTC)
Goto Top
Hi,

warum per RDP auf dem DC?
Benutzt stattdessen RSAT auf dem Client-PC des Praktikanten.

-Thomas
DerWoWusste
DerWoWusste May 04, 2023 at 11:53:33 (UTC)
Goto Top
Moin.

"Dumme" Frage von mir: wie kann man auf einem DC "eingeschränkt" etwas bewirken? Was soll er denn können?
Wenn er das AD nur lesend benutzen soll, kannst Du mir dem Tool "ADExplorer" lokal arbeiten. Auf den DC würde ich ihn auf keinen Fall lassen, weder mit, noch ohne Adminrechte.
friloo
friloo May 04, 2023 at 15:59:12 (UTC)
Goto Top
Zitat von @3063370895:

Hi,

warum per RDP auf dem DC?
Benutzt stattdessen RSAT auf dem Client-PC des Praktikanten.

-Thomas

Der Praktikant arbeitet zumindest zur Zeit noch, nur mit einem Wyse-Client.

Auf Dauer soll er Nutzer anlegen, Passwörter zurück setzen, Berechtigungen und co bearbeiten.

Aber grundsätzlich ist es schon richtig, dass ein Client-PC vermutlich das richtige Mittel wäre.
3063370895
3063370895 May 04, 2023 updated at 16:01:09 (UTC)
Goto Top
Aber doch nicht auf dem Domänencontroller? Das ist mMn. grob fahrlässig...
Könnt ihr ihm nicht irgendeine alte Kiste geben? Laptop?

-Thomas
ElmerAcmeee
ElmerAcmeee May 05, 2023 at 07:23:53 (UTC)
Goto Top
Moin,
denkt daran nur die OUs zu berechtigen wo eure standard User-Accounts und Gruppen drin sind.
An administrative Gruppen und User würde ich einen Praktikanten bzw neuen Azubi nie ran lassen.

Ansonsten schließe ich mich den Vorrednern an:
Der DC bzw das AD ist das Herzstück der Anmelde- und Berechtigungs- (/ Sicherheits) infrastruktur.
Per RDP hat er nix drauf verloren.
Gruß und viel Erfolg