Domain Admin auf nur eine OU
- Ersteller k0ntr
- Erstellt am
Jak0ntr schrieb:
Spaß bei Seite, aber die Vorredner haben recht, du musst deine Frage genauer formulieren.
lege dir einfach eine neue AD-gruppe an zB: grp-half-admin und fügst den User in die Gruppe hinzu
Dann Rechtsklick auf die OU unter Sicherheit, fügst du die Gruppe mit den Berechtigungen hinzu, die du haben willst.
Zuletzt bearbeitet:
snakesh1t
Lt. Commander
- Registriert
- Feb. 2017
- Beiträge
- 1.372
Anders gefragt: was möchtest du tun oder erreichen?k0ntr schrieb:
Ein Admin externen Zugriff auf OU-Objekte kann man auch realisieren z.B. Lehrer, die Benutzerkonten für ihre eigene Klasse bearbeiten dürfen, restliches aber verweigert oder gar ausgeblendet wird.
snakesh1t
Lt. Commander
- Registriert
- Feb. 2017
- Beiträge
- 1.372
Was sollen die Standort Admins denn genau machen?
Benutzer anlegen und pflegen?
Oder auch Geräte in die Domäne, Gruppenrichtlinien, Email, Berechtigungen vergeben etc.
Eine einfache Benutzerverwaltung ist leicht gemacht!
https://docs.microsoft.com/de-de/tr...components/remote-server-administration-tools
Bin leider nicht am PC, aber über mit RSAT, unterschiedlichen Domain-Usern! (User dürfen nicht in der Domänenadmin Gruppe sein, sonst haben sie vollzugriff auf alles!) und angepassten MMC kannst du jedem Standort Admin die einzelne OU zur Verfügung stellen.
Benutzer anlegen und pflegen?
Oder auch Geräte in die Domäne, Gruppenrichtlinien, Email, Berechtigungen vergeben etc.
Eine einfache Benutzerverwaltung ist leicht gemacht!
https://docs.microsoft.com/de-de/tr...components/remote-server-administration-tools
Bin leider nicht am PC, aber über mit RSAT, unterschiedlichen Domain-Usern! (User dürfen nicht in der Domänenadmin Gruppe sein, sonst haben sie vollzugriff auf alles!) und angepassten MMC kannst du jedem Standort Admin die einzelne OU zur Verfügung stellen.
Rickmer
Fleet Admiral
- Registriert
- Sep. 2009
- Beiträge
- 20.565
Ohne AD-Spezialist zu sein ist mein Verständnis für eingeschränkte Admins wie folgt:
1) keine Domänen-Admin Rechte Vergeben!
2) Dann musst du für jeden Standort eine Admin-Gruppe (Sicherheitsgruppe) erstellen
3) Entsprechend auf allen Geräten an dem Standort die Sicherheitsgruppe als lokalen Administrator hinterlegen (am besten per GPO)
4) Dann den Admin-Usern die entsprechende Sicherheitsgruppe zuweisen
Ist aber auch 'ne Frage was die machen sollen, z.B. wenn jemand einen Exchange-Server betreuen soll braucht dieser mindestens optional einen Domain-Admin Account der gleichzeitig Organisations-Management Rechte hat. (Wobei sich ein Domain-Admin natürlich mühelos selber alle zusätzlichen Rechte holen kann...)
Diese Rechte sind spätestens notwendig wenn der Exchange-Server geupdated werden soll. Lediglich Mailkonten anlegen usw. geht natürlich mit deutlich weniger Rechten und kann innerhalb Exchange gepflegt werden. (Exchange jetzt nur als Beispiel weil ich das selber ganz gut kenne.)
1) keine Domänen-Admin Rechte Vergeben!
2) Dann musst du für jeden Standort eine Admin-Gruppe (Sicherheitsgruppe) erstellen
3) Entsprechend auf allen Geräten an dem Standort die Sicherheitsgruppe als lokalen Administrator hinterlegen (am besten per GPO)
4) Dann den Admin-Usern die entsprechende Sicherheitsgruppe zuweisen
Ist aber auch 'ne Frage was die machen sollen, z.B. wenn jemand einen Exchange-Server betreuen soll braucht dieser mindestens optional einen Domain-Admin Account der gleichzeitig Organisations-Management Rechte hat. (Wobei sich ein Domain-Admin natürlich mühelos selber alle zusätzlichen Rechte holen kann...)
Diese Rechte sind spätestens notwendig wenn der Exchange-Server geupdated werden soll. Lediglich Mailkonten anlegen usw. geht natürlich mit deutlich weniger Rechten und kann innerhalb Exchange gepflegt werden. (Exchange jetzt nur als Beispiel weil ich das selber ganz gut kenne.)
Zuletzt bearbeitet:
Ähnliche Themen
