8
Read-Only Administrator?
Gibt es die Möglichkeit einem User das Anmelden an den Windows Server zu gestatten, aber Änderungen zu verbieten bzw. massiv einzuschränken?
Hallo,
Ich habe hier einen Kunden der die tägliche und wöchentliche Wartung seines Servers nicht von mir sondern von (fachunkundigem) eigenem Personal machen lassen möchte.
Ich soll dazu das Konzept erstellen (Argh). Diese Idee an sich möchte ich nicht weiter kommentieren...
Meine Frage also nun:
Gibt es bzw. kann ich einen User einrichten der sich am Windows Server anmelden und Basics ansehen kann (z.B. sind die Datenbanksicherungen aktuell, ist Backup Exec ordnungsgemäss gelaufen, ist auf allen Platten noch genug Platz, sind im Raid noch alle Platten online usw. usw.) aber der möglichst nichts ändern kann (d.h. nichts aus Versehen kaputtmachen).
Wo steht welche User bzw. Administratoren welche Rechte haben?
Vielen Dank & viele Grüße,
DC
Hallo,
Ich habe hier einen Kunden der die tägliche und wöchentliche Wartung seines Servers nicht von mir sondern von (fachunkundigem) eigenem Personal machen lassen möchte.
Ich soll dazu das Konzept erstellen (Argh). Diese Idee an sich möchte ich nicht weiter kommentieren...
Meine Frage also nun:
Gibt es bzw. kann ich einen User einrichten der sich am Windows Server anmelden und Basics ansehen kann (z.B. sind die Datenbanksicherungen aktuell, ist Backup Exec ordnungsgemäss gelaufen, ist auf allen Platten noch genug Platz, sind im Raid noch alle Platten online usw. usw.) aber der möglichst nichts ändern kann (d.h. nichts aus Versehen kaputtmachen).
Wo steht welche User bzw. Administratoren welche Rechte haben?
Vielen Dank & viele Grüße,
DC
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149470
Url: https://administrator.de/contentid/149470
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Du schreibst nicht, was für einen Windowsserver - also kann ich nur die Glaskugel bemühen.
Du kannst die Events (ab W2k8) forwarden lassen auf die Maschine des Mitüberwachers, sowie die DB-Logs einfach zu dem kopieren lassen - somit kann der auf seiner Maschine das alles kontrollieren und bei Unklarheiten Dich informieren. Für Plattenplatz kannste Dir ein dir LW: bauen, welches in eine Datei schreibt, die ein Job wegkopiert. Ein kleines Überwachungstool (Nagios o.ä.) kann sowas sogar automatisiert reporten.
Du mußt halt nur wissen, was Du alles wissen willst.
Gruß
24
Du schreibst nicht, was für einen Windowsserver - also kann ich nur die Glaskugel bemühen.
Du kannst die Events (ab W2k8) forwarden lassen auf die Maschine des Mitüberwachers, sowie die DB-Logs einfach zu dem kopieren lassen - somit kann der auf seiner Maschine das alles kontrollieren und bei Unklarheiten Dich informieren. Für Plattenplatz kannste Dir ein dir LW: bauen, welches in eine Datei schreibt, die ein Job wegkopiert. Ein kleines Überwachungstool (Nagios o.ä.) kann sowas sogar automatisiert reporten.
Du mußt halt nur wissen, was Du alles wissen willst.
Gruß
24
Hallo,
Was hast du dort bisher gemacht? Das Wort "Wartung" ist mir zu schwammig.
Welcher Server wird genutzt? Mit AD?
Welche Datenbank wird genutzt?
Welches Backup-Programm wird genutzt?
usw.
sorry, aber ein paar mehr Informationen wären schon notwendig.
Wie von 2hard4you schon beschrieben, gibt es heute viele Möglichkeiten, bei Problemen eine Mail/SMS etc. an die Administration zu senden, ohne dass da täglich einer nachsehen muss.
Grüße aus Rostock
Wolfgang
(Netwolf)
Ich habe hier einen Kunden der die tägliche und wöchentliche Wartung seines Servers nicht von mir
ok, und welche Position hast du? Externer Dienstleister?Was hast du dort bisher gemacht? Das Wort "Wartung" ist mir zu schwammig.
Welcher Server wird genutzt? Mit AD?
Welche Datenbank wird genutzt?
Welches Backup-Programm wird genutzt?
usw.
sorry, aber ein paar mehr Informationen wären schon notwendig.
Wie von 2hard4you schon beschrieben, gibt es heute viele Möglichkeiten, bei Problemen eine Mail/SMS etc. an die Administration zu senden, ohne dass da täglich einer nachsehen muss.
sondern von (fachunkundigem) eigenem Personal machen lassen möchte.
btw: klar, man kann nicht alles wissen, aber bei solchen Basis-Server-Fragen.... wie würdest du deine Qualifikation einstufen?Grüße aus Rostock
Wolfgang
(Netwolf)
Es handelt sich um einen 2003 SBS, Zusätzlich laufen 2 SQL-Server Datenbanken für Sage Anwendungen. Es gibt zusätzlich einen 2003 Std als Terminalserver.
Backup ist Symantec Backup Exec 11d. Ich habe aber nicht gefragt nach was geschaut werden muss oder wo man das nachschaut. Ich habe nur gefragt ob es einen stark eingeschränkten Admin gibt oder ob man einen solchen einrichten kann.
Und an Wolfgang: Ja, ich bin externer Dienstleister. Und bisher hatte ich (in gut 10 Jahren) noch nie die Aufgabe oder das Bedürfnis eingeschränkte Administratoren einzurichten. Ich betreue nun mal kleinere Firmen und da gibt es entweder nur mich als Admin oder noch 1-2 Leute die sich auskennen und die man nicht einschränken muss. Für MICH ist daher die Frage nicht so Basis, deswegen frage ich ja hier wo auch Leute sind die große Domains betreuen wo in einer AD viele unterschiedliche Admins mit unterschiedlichen Aufgaben arbeiten die vermutlich auch passende Berechtigungen haben. Darin sehe ich den Sinn eines sochen Forums wie diesem hier, dass man Informationen zur Verfügung stellt die man selbst hat und Fragen stellt wenn man welche braucht von denen man annehmen kann dass andere sie schon haben...
Viele Grüße,
DC
Backup ist Symantec Backup Exec 11d. Ich habe aber nicht gefragt nach was geschaut werden muss oder wo man das nachschaut. Ich habe nur gefragt ob es einen stark eingeschränkten Admin gibt oder ob man einen solchen einrichten kann.
Und an Wolfgang: Ja, ich bin externer Dienstleister. Und bisher hatte ich (in gut 10 Jahren) noch nie die Aufgabe oder das Bedürfnis eingeschränkte Administratoren einzurichten. Ich betreue nun mal kleinere Firmen und da gibt es entweder nur mich als Admin oder noch 1-2 Leute die sich auskennen und die man nicht einschränken muss. Für MICH ist daher die Frage nicht so Basis, deswegen frage ich ja hier wo auch Leute sind die große Domains betreuen wo in einer AD viele unterschiedliche Admins mit unterschiedlichen Aufgaben arbeiten die vermutlich auch passende Berechtigungen haben. Darin sehe ich den Sinn eines sochen Forums wie diesem hier, dass man Informationen zur Verfügung stellt die man selbst hat und Fragen stellt wenn man welche braucht von denen man annehmen kann dass andere sie schon haben...
Viele Grüße,
DC
Hallo DonCool,
dein Ansinnen ist standardmäßig bei DCs nicht vorgesehen. Dort können sich normalerweise nur Domänenadmins anmelden.
Anderen Usern Zugriff zu einem SBS zu gewähren birgt immer ein enormes Sicherheitsrisiko.
Dies einzuschränken wird kaum klappen.
Mach das, was dir von 2hard4you geraten wurde, richte Benachrichtigungen per Mail zu dem User ein.
Wenn du dich ein wenig mehr mit BE und dem SBS auskennen würdest, wüsstest du das selbst.
Für solche Angelegenheiten muss sich kein DAU an einem SBS anmelden, außer es ist der Chef und der muss das ja selbst verantworten.
dein Ansinnen ist standardmäßig bei DCs nicht vorgesehen. Dort können sich normalerweise nur Domänenadmins anmelden.
Anderen Usern Zugriff zu einem SBS zu gewähren birgt immer ein enormes Sicherheitsrisiko.
Dies einzuschränken wird kaum klappen.
Mach das, was dir von 2hard4you geraten wurde, richte Benachrichtigungen per Mail zu dem User ein.
Wenn du dich ein wenig mehr mit BE und dem SBS auskennen würdest, wüsstest du das selbst.
Für solche Angelegenheiten muss sich kein DAU an einem SBS anmelden, außer es ist der Chef und der muss das ja selbst verantworten.
Moin,
bitte trenne klar zwischen Probleme erkennen (das will der Auftraggeber) und Probleme beseitigen (das machst Du) - Du kannst alles reporten / abfragen - aber wenn der Typ *fachunkundig* ist, ist es doch okay, der liest die Logs - und greift zum Telefon / Mail - ich verstehe da was nicht, das iss alles rot oder gelb....
anders geht es nicht, auch der sparsamste Chef muß mal einsehen, was man an Wissen einsparen will, löhnt man an Knete - genauso wie die goldene Regel der Mechanik aus Vor-IT-Zeiten....
Gruß
24
bitte trenne klar zwischen Probleme erkennen (das will der Auftraggeber) und Probleme beseitigen (das machst Du) - Du kannst alles reporten / abfragen - aber wenn der Typ *fachunkundig* ist, ist es doch okay, der liest die Logs - und greift zum Telefon / Mail - ich verstehe da was nicht, das iss alles rot oder gelb....
anders geht es nicht, auch der sparsamste Chef muß mal einsehen, was man an Wissen einsparen will, löhnt man an Knete - genauso wie die goldene Regel der Mechanik aus Vor-IT-Zeiten....
Gruß
24
Hallo DonCool,
ich fasse mal zusammen:
a) Der Chef will, dass die tägliche und wöchentliche Wartung vom eigenen Personal gemacht wird und Du willst dafür einen "nur lese-Zugriff" einrichten.
b) Das Personal ist "unkundig", aber die Frage: " Wo steht welche User bzw. Administratoren welche Rechte haben" stammt immerhin von Dir.
Das sieht doch ganz danach aus als ob Du da einfach Dein eigenes Ding durchziehen willst. Wer hat denn eigentlich das Sagen - der Firmenchef oder der externe Dienstleister?
Grüße
Speedhub
ich fasse mal zusammen:
a) Der Chef will, dass die tägliche und wöchentliche Wartung vom eigenen Personal gemacht wird und Du willst dafür einen "nur lese-Zugriff" einrichten.
b) Das Personal ist "unkundig", aber die Frage: " Wo steht welche User bzw. Administratoren welche Rechte haben" stammt immerhin von Dir.
Das sieht doch ganz danach aus als ob Du da einfach Dein eigenes Ding durchziehen willst. Wer hat denn eigentlich das Sagen - der Firmenchef oder der externe Dienstleister?
Grüße
Speedhub
Das sieht doch ganz danach aus als ob Du da einfach Dein eigenes Ding durchziehen willst. Wer hat denn eigentlich das Sagen - der
Firmenchef oder der externe Dienstleister?
Firmenchef oder der externe Dienstleister?
Nein, eigentlich gehts eher darum Schaden von dem Server abzuwenden wenn sich Leute anmelden die eigentlich an so einem Server nichts verloren haben. Das sehe ich in diesem Fall als meine Aufgabe an. die Idee das ganze ausschliesslich über Mail- oder andere Benachrichtigungungen zu lösen ist übrigens tatsächlich der bisher beste Vorschlag und dementsprechend werde ich das auch vorschlagen. Da das aber auch wieder Arbeit und damit Kosten nach sich zieht seh ich das nicht wirklich als sehr chancenreich an. aber wie du schon sagst: Ich bin nur der Dienstleister...
Dann markiere ich das mal als gelöst, ich glaube neue Erkenntnisse gewinne ich hier keine mehr
Viele Grüße
DonCool
Morgen Doncool,
ich kann deine "Arbeit verursacht Kosten" Aussage nicht so ganz stützen.
Du wolltest folgende Benachrichtigungen:
3 Stichworte:
Die beiden ersten Punkte sind in der SBS-Konsole unter 'Überwachung und Berichterstattung' einzustellen, der letzte in BE unter Extras Empfänger.
ich kann deine "Arbeit verursacht Kosten" Aussage nicht so ganz stützen.
Du wolltest folgende Benachrichtigungen:
(z.B. sind die Datenbanksicherungen aktuell, ist Backup Exec ordnungsgemäss gelaufen, ist auf allen Platten noch genug Platz, sind im Raid noch alle Platten online usw. usw.
Das ist mit einem SBS mit eingerichtetem Exchange und in weniger als 10 min eingerichtet, wenn man es sehr gewissenhaft machen will, dauert es ca. 20 min.3 Stichworte:
- Serverleistungsbericht
- Serverwarnungen
- BE Benachrichtigung
Die beiden ersten Punkte sind in der SBS-Konsole unter 'Überwachung und Berichterstattung' einzustellen, der letzte in BE unter Extras Empfänger.
