Gruppe mit Domainverwaltungsrechten definieren

counterroot

Lt. Commander
Registriert
Feb. 2005
Beiträge
1.632
Hallo leute,

ich brauche eine Möglichkeit mit der ich an einem Server 2008 eine Gruppe Users die Domäne verwalten lassen kann, diese aber nicht der Domänenadministratoren angehört.

Hintergrund ist, dass diese User keinen Zugriff auf alle Verzeichnisse bekommen sondern wirklich nur die Domäne verwalten können.
Möglich wäre auch die Alternative, dass die User auf allen Server die der Domäne angehören Administrationsrechte bekommen und somit Zugriff auf die Verwaltung haben.

pmb µatthias
 
Du könntest eine Gruppe erstellen, diese lokal auf den Servern jeweils in die lokale Admingruppe schieben. Da gibs aber noch elegantere Lösungen. Ist schon bischen was her seitdem ich das letzte mal gemacht hab ;)
 
das Problem ist auf dem DC gibt es keine lokale Admingruppe :D
gruß µatthias
 
Die User oder Gruppe manuell bei den Servern als lokale Admins eintragen. Geht natürlich nur bei Mitgliedsservern.
Frage ist, ob Sie wirklich Adminzugriff auf den DCs brauchen!?
 
warum vergibts du nicht die notwendigen rechte einzeln?
dann hast du auch eine bessere übersicht, was deine nutzer alles dürfen.
 
Moin, moin

Es gibt im AD zwei vordefinierte Gruppen, die dir vielleicht helfen könnten:

Account Operators (Konten-Operatoren)

Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Konten-Operatoren sind standardmäßig berechtigt, Konten für Benutzer, Gruppen und Computern in allen Containern und Organisationseinheiten des Active Directory zu erstellen, zu ändern und zu löschen, ausgenommen der vordefinierte Container und die Organisationseinheit der Domänencontroller. Konten-Operatoren sind nicht berechtigt, die Gruppen "Administratoren" und "Domain-Admins" zu ändern. Auch dürfen sie die Konten von Mitgliedern dieser Gruppen nicht ändern.

Server Operators (Server-Operatoren)

Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Server-Operatoren können sich interaktiv an einem Server anmelden, Netzwerkfreigaben erstellen und löschen, Dienste starten und stoppen, Dateien sichern und wiederherstellen, die Festplatte des Computers neu formatieren und den Computer herunterfahren.

Quelle hier

Cu
 
@Faintxxx
Es gibt auf einem DC keine lokalen Gruppen.

@ManOki
Das ist aber nicht die 'Microsoft-Vorgehensweise' ;)

@counterroot
Im AD Snap-In auf eine Domäne oder OU klicken und 'Delegate Control' auswählen. Da kannst Du beliebigen Gruppen entsprechende Rechte geben. Meine Server sind englisch installiert, aber Du wirst die entsprechende Übersetzung bestimmt finden ;)
 
Zuletzt bearbeitet:
vllt wurde ich falsch verstanden ... trotzdem das prinzip mit gruppen/usern local/global bei behalten
und einfach selbst eine neue gruppe erstellen, anstatt eine vordefinierte von microsoft zu nehmen.
 
danke für die Antworten Leute!,

Das mit den Konten und Server-Operatoren klappt schonmal.
Leider ist es so dass in meiner OU ein bisschen Chaos herrscht in sachen Übergreifende Richtlinien. Ich werde berichten für welche Variante ich mich schließlich entscheiden konnte - welches verfahren (gruppen oder einzelne rechtevergabe) ich genommen habe. Das Problem ist im Moment, dass alte Richtlinien die neuen überschreiben das sie höherrangig sind, jedoch auch da bleiben müssen... muss da erst mal aufräumen

danke erst mal
gruß µatthias
 
Zuletzt bearbeitet:
Zurück
Oben