Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Standort Admins

Mitglied: StefanJunghahn

StefanJunghahn (Level 1) - Jetzt verbinden

25.10.2011 um 11:06 Uhr, 2128 Aufrufe, 6 Kommentare

Hallo,

wir haben insgesamt 5 Standorte.

Alle Standorte sind via VPN verbunden.

Wir haben überall einen DC stehen.

Soweit ist alles gut und funktioniert auch wunderbar.

Es kommt aber doch mal vor, dass man eine "helfende Hand" vor Ort benötigt.

In der Vergangenheit wurden einfach manche User zu Domänenadmins gemacht und die konnten einem dann auch mal ein Laptop in die Domäne hängen oder so.

Mittlerweile wollen aber manche Leute auch Adminrechte auf dem Server an Ihrem Standort haben.

Wie löse ich das am besten ?

Ich möchte gerne, dass ich für jeden Standort einen Admin habe (z.B. Admin_RB, Admin_ME.... usw)

Diese Admins dürfen aber dann nur das Netzwerk des jeweiligen Standorts administrieren.

Ich habe mich schon ein wenig in Forrest eingelesen, denke aber das dass nicht so einfach wird, da ich jetzt nicht einfach die DC´s umstellen kann.

Wir haben in unserem AD alle Standorte unterschiedlichen OU´s zugeteilt.

Kann ich nicht eine Richtlinie festlegen, in der ich einfach sage, Alles was unter dieser OU´s geführt wird, darf Admin_XX machen.


Gruß,

Stefan
Mitglied: Ravers
25.10.2011 um 11:16 Uhr
Moin moin,

du baust dir grad dein eigenes Grab, das weist du?
"Normalos" als Admin eines DC-Servers zu machen, das würde ich echt sein lassen!! Besser einen guten Fernzugang; VPN habt ihr ja schon.
Da wird schnell mal was gelöscht; dann heißt es entweder: ich habe nix gemacht oder ja, habe ich gelöscht, aber wusste doch nicht was da dann passiert. Seh mal zu das es schnell wieder läuft, wir können (nicht mehr) arbeiten ... und du hast die A...-Karte

Temporär jemanden dem Admin geben halte ich für OK, nach den Einstellungen aber sofort wieder ändern. Was Sie anklicken können wird auch angeklickt. Und den Spruch: da stand ne Meldung, aber ich konnte OK drücken ... was da stand .. keine Ahnung - das wirst du vielleicht kennen.

Solltest du dich jedoch nicht umstimmen lassen, kläre es mit der Geschäftsleitung ob es so gewünscht ist; und was passiert im Fehlerfall.

greetz
ravers
Bitte warten ..
Mitglied: StefanJunghahn
25.10.2011 um 11:25 Uhr
Hallo Ravers,

genau das ist mein Problem.
In den einzelnen Standorten sitzen fast nur Entwickler.
Die Geschäftsleitung möchte das auch so....

Was ich eigendlich nur umgehen möchte ist, dass ein Admin von Standort A nichts an Standort B machen kann.

Jemanden Temporär zu einem Admin machen is auch OK, aber er kann nun mal in diesem Zeitraum auch an anderen Standorten etwas machen....

Wenn sie sich an Ihrem eigenen Standort etwas "kaputt" machen dann sind sie selbst dafür verantwortlich.

Die Admins die ich benenne, bekommen eine Einweisung und die Verantwortung für den Standort, können aber nichts an anderen Standorten machen.

Gruß,

Stefan
Bitte warten ..
Mitglied: Ravers
25.10.2011 um 11:39 Uhr
Dafür mögen Sie dann verantwortlich sein; aber den Ärger wenn was schiefgeht hast du!
Aber gut, was die Geschäftsleitung will ... sollte man machen. Ich pers. würde mich stark dagegen aussprechen. Denn weißt du welche Hebel die alle bewegt haben?

Zur Realisierung würde mir einfallen mehrere Domänen aufzubauen und Vertrauensstellungen einrichten. Dann sollte dein Vorhaben möglich sein. Gemacht habe ich es jedoch noch nicht.

Oder schaue dir an was Sie machen können sollen und gebe dementsprechend die Berechtigung. Jedoch ist dies natürlich auch Standortübergreifend.

greetz
ravers
Bitte warten ..
Mitglied: clSchak
25.10.2011 um 11:51 Uhr
ich habe an den Standorten wo Personen sitzen sich wenigstens gescheit mit einem Windows Rechner auskennen in eine Gruppe geschoben die über lokale Adminrechte an den ClientPC verfügt um z.B. mal ein Programm installieren oder ähnliches, am Server bekommen die garkeine Rechte (würde auch nur in einem Desaster enden), die haben dafür unterschrieben das die da keine illegalen Sachen installieren (was natürlich bei Lokalen Adminrechten nicht unmöglich ist) und es wurde von der GF bei uns gefodert.

Ich würde da auch keine Rechte an dem DC einrichten, dass sollte in deiner Hand bleiben ist ja schlussendlich auch dein Verantwortungsbereich und man hat halt nicht immer soviele Leute zur verfügung wie es in größeren Firmen ist wo an jedem Standort ggf. ein Admin arbeitet.

So behälst du dann die Netzwerkhoheit und es kann maximal ein Client "das zeitliche Segen" und am AD hat auch kein Hiflsadmin rumzu fummeln
Bitte warten ..
Mitglied: builder4242
25.10.2011 um 11:56 Uhr
Was genau sollen die Admins den an den Standorten machen?

Bin mir nicht ganz sicher, aber kann man das nicht auch über Sub-Domains lösen?
Bitte warten ..
Mitglied: lenny4me
25.10.2011 um 12:33 Uhr
Hallo,

warum deligierst du den Admins nicht in der OU die Rechte die Sie brauchen?
Rechtsklick auf die OU -> Objektverwaltung zuweisen?

& via GPO Computerverwaltung -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Zuweisen von Benutzerrechten?

Grüße Lenny
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Standort-Domänen verbinden International

Frage von GeforceWindows Netzwerk9 Kommentare

Hallo Leute, ich habe folgendes Problem. Meine Firma hat 3 Standorte, einen in Deutschland, einen in Ungarn und einen ...

UMTS, EDGE & GPRS

LTE Standort Backups (Telekom)

Frage von Ex0r2k16UMTS, EDGE & GPRS12 Kommentare

Huhu, mal eine Frage in die Runde. Was für LTE Technik habt ihr so als Standort Backups im Einsatz? ...

LAN, WAN, Wireless

Internetanschluss für abgesetzten Standort

Frage von AndroxinLAN, WAN, Wireless4 Kommentare

Guten Tag, ich möchte ein Außenlager (2 PCs, 2 WLAN Barcodescanner, 1 ISDN over IP Systemtelefon) über eine WAN ...

Windows Server

Datumsausgabe in CMD unterschiedlich von Standort zu Standort - GPO Problem

gelöst Frage von K-ist-KWindows Server7 Kommentare

Hallo liebe Administrator Gemeinde, wollte Anfangs die Frage ja nicht stellen, aber mir fehlt einfach nichts mehr ein. Mein ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Tipp von ChriBo vor 21 StundenFirewall

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 2 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 2 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 2 TagenGoogle Android2 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung23 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

Backup
Wo installiert man Veeam bei SoHo?
Frage von EDVMan27Backup14 Kommentare

Hallo, nachdem ich die neue Veeam CE bei mir getestet habe, wollte ich es einmal bei einem Kunden testen. ...

Ubuntu
Exchange Alternative auf Ubuntu
Frage von TELLOUbuntu11 Kommentare

Hi NG, wir müssen für unsere Kleine Firma (5 User) das Email / Kalendersystem neu einrichten. Ich könnte jetzt ...

Batch & Shell
Tasklist überprüfen
Frage von IleiesBatch & Shell10 Kommentare

Hallo zusammen, Wie kann ich in Batch überprüfen, ob gerade der Prozess "Skype.exe" ausgeführt wird? Also nicht so dass ...