83319
Sep 30, 2009, updated at Oct 18, 2012 at 16:39:30 (UTC)
21904
6
0
Active Directory eingeschränkte Admin Rechte
moin
habe folgendes Problemchen, wir wollen in unser Domäne einen bzw mehreren Usern eingeschränkte Rechte zum verwalten der
User/Computer geben.
Der Sinn dahinter ist das wir auf mehreren Standorten verantwortliche für die IT haben, bei denen es nicht gewünscht ist das sie die "totale Kontrolle" über das AD haben.
Sie solltem zwar User bearbeiten bzw. Anlegen können aber auf keinen Fall neue OU´s anlegen oder diese zu löschen. Weiters sollten sie zwar neue Computer hinzufügen können und auch diese in die passende Gruppe verschieben aber eben auch diese nicht löschen können.
Das soltle Aufgabe der Hauptadmin´s sein.
Nun meiner Frage, ist es möglich einen User zu erstellen, der auf der einen Seite Adminrechte hat aber auf der anderen Seite doch wieder sehr eingeschränkt ist ??
Danke schonmal für eure Hilfe
bye
habe folgendes Problemchen, wir wollen in unser Domäne einen bzw mehreren Usern eingeschränkte Rechte zum verwalten der
User/Computer geben.
Der Sinn dahinter ist das wir auf mehreren Standorten verantwortliche für die IT haben, bei denen es nicht gewünscht ist das sie die "totale Kontrolle" über das AD haben.
Sie solltem zwar User bearbeiten bzw. Anlegen können aber auf keinen Fall neue OU´s anlegen oder diese zu löschen. Weiters sollten sie zwar neue Computer hinzufügen können und auch diese in die passende Gruppe verschieben aber eben auch diese nicht löschen können.
Das soltle Aufgabe der Hauptadmin´s sein.
Nun meiner Frage, ist es möglich einen User zu erstellen, der auf der einen Seite Adminrechte hat aber auf der anderen Seite doch wieder sehr eingeschränkt ist ??
Danke schonmal für eure Hilfe
bye
Please also mark the comments that contributed to the solution of the article
Content-Key: 126101
Url: https://administrator.de/contentid/126101
Printed on: April 24, 2024 at 21:04 o'clock
6 Comments
Latest comment
Moin moin
Hier ist ein recht gutes HowTo dazu:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
Gruß L.
egal was ich dem testuser da einstelle, der hat nach wie vor sämtlich rechte am AD
Da machst du grundsätzlich etwas falsch (denke ich). Ein "User" hat erstmal keine Rechte am AD zu haben. Diese kannst Du ihm dann mittels der Objekt verwaltung gewähren.Und wo kann ich bitte die einzelnen OU´s verstecken ??
Durch anpassen des SnapIns Active Directory Benutzer und Computer.Hier ist ein recht gutes HowTo dazu:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
Gruß L.
Moin Moin
Nun ein deinem Eingangs Post hast du das noch ander geschildert:
Gib jeden Benutzer (auch Administratoren) nur die Rechte, die diese auch für ihre Tätigkeit benötigen.
Gruß L.
Zitat von @83319:
Ich habe mir deshalb einen sog. testuser angelegt dem erstmal alle
adminrechte gegeben und nun versuche ich eben diesen genau so
einzuschränken, das er für die Bedürfnisse passt, die wir brauchen.
Ich habe mir deshalb einen sog. testuser angelegt dem erstmal alle
adminrechte gegeben und nun versuche ich eben diesen genau so
einzuschränken, das er für die Bedürfnisse passt, die wir brauchen.
Nun ein deinem Eingangs Post hast du das noch ander geschildert:
habe folgendes Problemchen, wir wollen in unser Domäne einen bzw mehreren Usern eingeschränkte Rechte zum verwalten der User/Computer geben.
Und so ist es auch besser (übersichtlicher, sicherer,...).Gib jeden Benutzer (auch Administratoren) nur die Rechte, die diese auch für ihre Tätigkeit benötigen.
Gruß L.