lcer00
Goto Top

Verständnisfrage AD-Gruppe Server-Operatoren

Ich habe zwei Fragen zur Built-In Gruppe Server-Operatoren und nach Durchlesen von z.b. https://www.edv-lehrgang.de/standardgruppen-im-active-directory/ nicht schlauer. (Kontext: AD mit Server 2012R2)

Ist ein Benutzer, den ich der Gruppe hinzufüge, automatisch auf allen Domänenservern (außer DCs) "Server-Operator"? Oder muss ich die Gruppe noch irgendwie auf dem einzelnen Server hinzufügen / Aktivieren?

und

Ist Server-Operator bezüglich der Berechtigungen das gleiche wie "Mitglied der lokalen Administratoren Gruppe"? - vermutlich nicht. Wo ist der wesentliche Unterschied?

Grüße

lcer

Content-Key: 514093

Url: https://administrator.de/contentid/514093

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: emeriks
emeriks 11.11.2019 um 12:34:01 Uhr
Goto Top
Hi,
die Gruppe "Server-Operatoren" ist in einer Domäne eine sogenannte "BuiltIn"-Gruppe. BuiltIn-Gruppen gelten nur auf Domaincontrollern dieser Domäne.
Wenn Du jemanden lokal auf den Memberservern Rechte erteilen willst, dann erstelle dafür eine eigene Globale Gruppe in der Domäne und füge den Benutzer dort hinzu. Diese Gruppe fügst Du entweder über die GPO-Richtlinie "eingeschränkte Gruppen" den einzelnen lokalen Administratoren-Gruppen auf den Servern hinzu oder Du erteilst dieser Gruppe auf den Servern nur die notwendigen Rechte.

E.
Mitglied: lcer00
lcer00 12.11.2019 aktualisiert um 09:16:21 Uhr
Goto Top
Hallo,
Zitat von @emeriks:

Hi,
die Gruppe "Server-Operatoren" ist in einer Domäne eine sogenannte "BuiltIn"-Gruppe. BuiltIn-Gruppen gelten nur auf Domaincontrollern dieser Domäne.

die Bescheibung der Gruppe (die Beschreibung die im AD-Benutzer&Computer angezeigt wird) lautet:
Mitglieder dieser Gruppe können Domänenserver verwalten.
Da steht Domänenserver - nicht Domänencontroller. Ich hatte daher angenommen, dass die Gruppe auch für die nicht-DC-Server gilt.

Wenn Du jemanden lokal auf den Memberservern Rechte erteilen willst, dann erstelle dafür eine eigene Globale Gruppe in der Domäne und füge den Benutzer dort hinzu. Diese Gruppe fügst Du entweder über die GPO-Richtlinie "eingeschränkte Gruppen" den einzelnen lokalen Administratoren-Gruppen auf den Servern hinzu oder Du erteilst dieser Gruppe auf den Servern nur die notwendigen Rechte.

OK.

Grüße

lcer
Mitglied: emeriks
Lösung emeriks 12.11.2019 um 10:56:11 Uhr
Goto Top
Zitat von @lcer00:
Da steht Domänenserver - nicht Domänencontroller. Ich hatte daher angenommen, dass die Gruppe auch für die nicht-DC-Server gilt.
Ja, das ist dämlich. Gleiches gilt z.B. auch für Druck-Operatoren. Die aus der Domäne gelten nur für Domaincontroller dieser Domäne.