6
Standort Admins
Hallo,
wir haben insgesamt 5 Standorte.
Alle Standorte sind via VPN verbunden.
Wir haben überall einen DC stehen.
Soweit ist alles gut und funktioniert auch wunderbar.
Es kommt aber doch mal vor, dass man eine "helfende Hand" vor Ort benötigt.
In der Vergangenheit wurden einfach manche User zu Domänenadmins gemacht und die konnten einem dann auch mal ein Laptop in die Domäne hängen oder so.
Mittlerweile wollen aber manche Leute auch Adminrechte auf dem Server an Ihrem Standort haben.
Wie löse ich das am besten ?
Ich möchte gerne, dass ich für jeden Standort einen Admin habe (z.B. Admin_RB, Admin_ME.... usw)
Diese Admins dürfen aber dann nur das Netzwerk des jeweiligen Standorts administrieren.
Ich habe mich schon ein wenig in Forrest eingelesen, denke aber das dass nicht so einfach wird, da ich jetzt nicht einfach die DC´s umstellen kann.
Wir haben in unserem AD alle Standorte unterschiedlichen OU´s zugeteilt.
Kann ich nicht eine Richtlinie festlegen, in der ich einfach sage, Alles was unter dieser OU´s geführt wird, darf Admin_XX machen.
Gruß,
Stefan
wir haben insgesamt 5 Standorte.
Alle Standorte sind via VPN verbunden.
Wir haben überall einen DC stehen.
Soweit ist alles gut und funktioniert auch wunderbar.
Es kommt aber doch mal vor, dass man eine "helfende Hand" vor Ort benötigt.
In der Vergangenheit wurden einfach manche User zu Domänenadmins gemacht und die konnten einem dann auch mal ein Laptop in die Domäne hängen oder so.
Mittlerweile wollen aber manche Leute auch Adminrechte auf dem Server an Ihrem Standort haben.
Wie löse ich das am besten ?
Ich möchte gerne, dass ich für jeden Standort einen Admin habe (z.B. Admin_RB, Admin_ME.... usw)
Diese Admins dürfen aber dann nur das Netzwerk des jeweiligen Standorts administrieren.
Ich habe mich schon ein wenig in Forrest eingelesen, denke aber das dass nicht so einfach wird, da ich jetzt nicht einfach die DC´s umstellen kann.
Wir haben in unserem AD alle Standorte unterschiedlichen OU´s zugeteilt.
Kann ich nicht eine Richtlinie festlegen, in der ich einfach sage, Alles was unter dieser OU´s geführt wird, darf Admin_XX machen.
Gruß,
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175240
Url: https://administrator.de/forum/standort-admins-175240.html
Ausgedruckt am: 09.04.2025 um 21:04 Uhr
6 Kommentare
Neuester Kommentar
Moin moin,
du baust dir grad dein eigenes Grab, das weist du?
"Normalos" als Admin eines DC-Servers zu machen, das würde ich echt sein lassen!! Besser einen guten Fernzugang; VPN habt ihr ja schon.
Da wird schnell mal was gelöscht; dann heißt es entweder: ich habe nix gemacht oder ja, habe ich gelöscht, aber wusste doch nicht was da dann passiert. Seh mal zu das es schnell wieder läuft, wir können (nicht mehr) arbeiten ... und du hast die A...-Karte
Temporär jemanden dem Admin geben halte ich für OK, nach den Einstellungen aber sofort wieder ändern. Was Sie anklicken können wird auch angeklickt. Und den Spruch: da stand ne Meldung, aber ich konnte OK drücken ... was da stand .. keine Ahnung - das wirst du vielleicht kennen.
Solltest du dich jedoch nicht umstimmen lassen, kläre es mit der Geschäftsleitung ob es so gewünscht ist; und was passiert im Fehlerfall.
greetz
ravers
du baust dir grad dein eigenes Grab, das weist du?
"Normalos" als Admin eines DC-Servers zu machen, das würde ich echt sein lassen!! Besser einen guten Fernzugang; VPN habt ihr ja schon.
Da wird schnell mal was gelöscht; dann heißt es entweder: ich habe nix gemacht oder ja, habe ich gelöscht, aber wusste doch nicht was da dann passiert. Seh mal zu das es schnell wieder läuft, wir können (nicht mehr) arbeiten ... und du hast die A...-Karte
Temporär jemanden dem Admin geben halte ich für OK, nach den Einstellungen aber sofort wieder ändern. Was Sie anklicken können wird auch angeklickt. Und den Spruch: da stand ne Meldung, aber ich konnte OK drücken ... was da stand .. keine Ahnung - das wirst du vielleicht kennen.
Solltest du dich jedoch nicht umstimmen lassen, kläre es mit der Geschäftsleitung ob es so gewünscht ist; und was passiert im Fehlerfall.
greetz
ravers
Hallo Ravers,
genau das ist mein Problem.
In den einzelnen Standorten sitzen fast nur Entwickler.
Die Geschäftsleitung möchte das auch so....
Was ich eigendlich nur umgehen möchte ist, dass ein Admin von Standort A nichts an Standort B machen kann.
Jemanden Temporär zu einem Admin machen is auch OK, aber er kann nun mal in diesem Zeitraum auch an anderen Standorten etwas machen....
Wenn sie sich an Ihrem eigenen Standort etwas "kaputt" machen dann sind sie selbst dafür verantwortlich.
Die Admins die ich benenne, bekommen eine Einweisung und die Verantwortung für den Standort, können aber nichts an anderen Standorten machen.
Gruß,
Stefan
genau das ist mein Problem.
In den einzelnen Standorten sitzen fast nur Entwickler.
Die Geschäftsleitung möchte das auch so....
Was ich eigendlich nur umgehen möchte ist, dass ein Admin von Standort A nichts an Standort B machen kann.
Jemanden Temporär zu einem Admin machen is auch OK, aber er kann nun mal in diesem Zeitraum auch an anderen Standorten etwas machen....
Wenn sie sich an Ihrem eigenen Standort etwas "kaputt" machen dann sind sie selbst dafür verantwortlich.
Die Admins die ich benenne, bekommen eine Einweisung und die Verantwortung für den Standort, können aber nichts an anderen Standorten machen.
Gruß,
Stefan
Dafür mögen Sie dann verantwortlich sein; aber den Ärger wenn was schiefgeht hast du! 
Aber gut, was die Geschäftsleitung will ... sollte man machen. Ich pers. würde mich stark dagegen aussprechen. Denn weißt du welche Hebel die alle bewegt haben?
Zur Realisierung würde mir einfallen mehrere Domänen aufzubauen und Vertrauensstellungen einrichten. Dann sollte dein Vorhaben möglich sein. Gemacht habe ich es jedoch noch nicht.
Oder schaue dir an was Sie machen können sollen und gebe dementsprechend die Berechtigung. Jedoch ist dies natürlich auch Standortübergreifend.
greetz
ravers
Aber gut, was die Geschäftsleitung will ... sollte man machen. Ich pers. würde mich stark dagegen aussprechen. Denn weißt du welche Hebel die alle bewegt haben?
Zur Realisierung würde mir einfallen mehrere Domänen aufzubauen und Vertrauensstellungen einrichten. Dann sollte dein Vorhaben möglich sein. Gemacht habe ich es jedoch noch nicht.
Oder schaue dir an was Sie machen können sollen und gebe dementsprechend die Berechtigung. Jedoch ist dies natürlich auch Standortübergreifend.
greetz
ravers
ich habe an den Standorten wo Personen sitzen sich wenigstens gescheit mit einem Windows Rechner auskennen in eine Gruppe geschoben die über lokale Adminrechte an den ClientPC verfügt um z.B. mal ein Programm installieren oder ähnliches, am Server bekommen die garkeine Rechte (würde auch nur in einem Desaster enden), die haben dafür unterschrieben das die da keine illegalen Sachen installieren (was natürlich bei Lokalen Adminrechten nicht unmöglich ist) und es wurde von der GF bei uns gefodert.
Ich würde da auch keine Rechte an dem DC einrichten, dass sollte in deiner Hand bleiben ist ja schlussendlich auch dein Verantwortungsbereich und man hat halt nicht immer soviele Leute zur verfügung wie es in größeren Firmen ist wo an jedem Standort ggf. ein Admin arbeitet.
So behälst du dann die Netzwerkhoheit und es kann maximal ein Client "das zeitliche Segen" und am AD hat auch kein Hiflsadmin rumzu fummeln
Ich würde da auch keine Rechte an dem DC einrichten, dass sollte in deiner Hand bleiben ist ja schlussendlich auch dein Verantwortungsbereich und man hat halt nicht immer soviele Leute zur verfügung wie es in größeren Firmen ist wo an jedem Standort ggf. ein Admin arbeitet.
So behälst du dann die Netzwerkhoheit und es kann maximal ein Client "das zeitliche Segen" und am AD hat auch kein Hiflsadmin rumzu fummeln
Was genau sollen die Admins den an den Standorten machen?
Bin mir nicht ganz sicher, aber kann man das nicht auch über Sub-Domains lösen?
Bin mir nicht ganz sicher, aber kann man das nicht auch über Sub-Domains lösen?
Hallo,
warum deligierst du den Admins nicht in der OU die Rechte die Sie brauchen?
Rechtsklick auf die OU -> Objektverwaltung zuweisen?
& via GPO Computerverwaltung -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Zuweisen von Benutzerrechten?
Grüße Lenny
warum deligierst du den Admins nicht in der OU die Rechte die Sie brauchen?
Rechtsklick auf die OU -> Objektverwaltung zuweisen?
& via GPO Computerverwaltung -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Zuweisen von Benutzerrechten?
Grüße Lenny
