83319
Sep 30, 2009, updated at Oct 18, 2012 (UTC)
21880
6
0
Active Directory eingeschränkte Admin Rechte
moin
habe folgendes Problemchen, wir wollen in unser Domäne einen bzw mehreren Usern eingeschränkte Rechte zum verwalten der
User/Computer geben.
Der Sinn dahinter ist das wir auf mehreren Standorten verantwortliche für die IT haben, bei denen es nicht gewünscht ist das sie die "totale Kontrolle" über das AD haben.
Sie solltem zwar User bearbeiten bzw. Anlegen können aber auf keinen Fall neue OU´s anlegen oder diese zu löschen. Weiters sollten sie zwar neue Computer hinzufügen können und auch diese in die passende Gruppe verschieben aber eben auch diese nicht löschen können.
Das soltle Aufgabe der Hauptadmin´s sein.
Nun meiner Frage, ist es möglich einen User zu erstellen, der auf der einen Seite Adminrechte hat aber auf der anderen Seite doch wieder sehr eingeschränkt ist ??
Danke schonmal für eure Hilfe
bye
habe folgendes Problemchen, wir wollen in unser Domäne einen bzw mehreren Usern eingeschränkte Rechte zum verwalten der
User/Computer geben.
Der Sinn dahinter ist das wir auf mehreren Standorten verantwortliche für die IT haben, bei denen es nicht gewünscht ist das sie die "totale Kontrolle" über das AD haben.
Sie solltem zwar User bearbeiten bzw. Anlegen können aber auf keinen Fall neue OU´s anlegen oder diese zu löschen. Weiters sollten sie zwar neue Computer hinzufügen können und auch diese in die passende Gruppe verschieben aber eben auch diese nicht löschen können.
Das soltle Aufgabe der Hauptadmin´s sein.
Nun meiner Frage, ist es möglich einen User zu erstellen, der auf der einen Seite Adminrechte hat aber auf der anderen Seite doch wieder sehr eingeschränkt ist ??
Danke schonmal für eure Hilfe
bye
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126101
Url: https://administrator.de/contentid/126101
Printed on: April 19, 2024 at 04:04 o'clock
6 Comments
Latest comment
also ich hab das jetzt probiert über rechtsklick/delegate control usw
aber irgendwie is ihm das sch.... egal was ich dem testuser da einstelle, der hat nach wie vor sämtlich rechte am AD. Und wo kann ich bitte die einzelnen OU´s verstecken ??
lg
aber irgendwie is ihm das sch.... egal was ich dem testuser da einstelle, der hat nach wie vor sämtlich rechte am AD. Und wo kann ich bitte die einzelnen OU´s verstecken ??
lg
Moin moin
Hier ist ein recht gutes HowTo dazu:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
Gruß L.
egal was ich dem testuser da einstelle, der hat nach wie vor sämtlich rechte am AD
Da machst du grundsätzlich etwas falsch (denke ich). Ein "User" hat erstmal keine Rechte am AD zu haben. Diese kannst Du ihm dann mittels der Objekt verwaltung gewähren.Und wo kann ich bitte die einzelnen OU´s verstecken ??
Durch anpassen des SnapIns Active Directory Benutzer und Computer.Hier ist ein recht gutes HowTo dazu:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
Gruß L.
Da hast du natürioch recht, das ein "user" keine rechte haben soll im AD.
Ich habe mir deshalb einen sog. testuser angelegt dem erstmal alle adminrechte gegeben und nun versuche ich eben diesen genau so einzuschränken, das er für die Bedürfnisse passt, die wir brauchen.
lg
Ich habe mir deshalb einen sog. testuser angelegt dem erstmal alle adminrechte gegeben und nun versuche ich eben diesen genau so einzuschränken, das er für die Bedürfnisse passt, die wir brauchen.
lg
Moin Moin
Nun ein deinem Eingangs Post hast du das noch ander geschildert:
Gib jeden Benutzer (auch Administratoren) nur die Rechte, die diese auch für ihre Tätigkeit benötigen.
Gruß L.
Zitat von @83319:
Ich habe mir deshalb einen sog. testuser angelegt dem erstmal alle
adminrechte gegeben und nun versuche ich eben diesen genau so
einzuschränken, das er für die Bedürfnisse passt, die wir brauchen.
Ich habe mir deshalb einen sog. testuser angelegt dem erstmal alle
adminrechte gegeben und nun versuche ich eben diesen genau so
einzuschränken, das er für die Bedürfnisse passt, die wir brauchen.
Nun ein deinem Eingangs Post hast du das noch ander geschildert:
habe folgendes Problemchen, wir wollen in unser Domäne einen bzw mehreren Usern eingeschränkte Rechte zum verwalten der User/Computer geben.
Und so ist es auch besser (übersichtlicher, sicherer,...).Gib jeden Benutzer (auch Administratoren) nur die Rechte, die diese auch für ihre Tätigkeit benötigen.
Gruß L.
ja, das ist schon korrekt, nur mit dem einen User bzw mehreren Usern meinte ich die Admins denen eben die rechte eingeschränkt werden soll(t)en. eben aus diesem grund legte ich mir einen testuer an, damit ich nicht permanent bei denen am account runofuschen muss
lg
lg
