purebond
Goto Top

Lokaler Admin im AD

Hallo, habe folgendes Problem: Wir installieren gerade ein AD auf Windows 2003 Servern über verschiedene Standorte verteilt, d.h. verschiedene Einrichtungen sind über ein VPN verbunden und haben ein gemeinsames AD. Um den Administrationsaufwand zu vermindern haben wir in jeder Einrichtung einen EDV-Ansprechpartner. Wie kann ich diesen Ansprechpartnern jeweils einen Benutzer zuweisen, damit sie nur Ihren Server administrieren können und nicht auf andere Standorte zugreifen können ? Hat jemand schon in einem ähnlichen Szenario das gleiche Problem gehabt ?

Content-Key: 89603

Url: https://administrator.de/contentid/89603

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: Ricky99
Ricky99 11.06.2008 um 11:48:53 Uhr
Goto Top
Hallo,

nach einigem fischen in meinem kümmerlichen Hirn erinnerte mich selbiges an einen noch nicht allzu lange zurückliegenden Artikel:

http://www.heise.de/kiosk/archiv/ct/2008/11/200_Active_Directory_fuer_k ...

Hier wird u.A. eine Gruppe angelegt, welche auf ausgewählten Maschinen lokale Administrator-Rechte hat.

Grüße,

Ralf.
Mitglied: geTuemII
geTuemII 11.06.2008, aktualisiert am 18.10.2012 um 18:35:50 Uhr
Goto Top
Da hilft die ganz normale GPO für lokale Adminrechte, für die einzelnen Standorte mußt du evtl. etwas modifizieren:

Benutzer mit Administratorenrechten?

geTuemII
Mitglied: purebond
purebond 11.06.2008 um 13:29:13 Uhr
Goto Top
Hallo, erstmal danke für eure Beiträge. Vielleicht ist die Problemstellung noch nicht ganz klar: Wie man Dom-Benutzer lokale admin-Rechte auf Ihren PC's geben kann, ist mir klar. Ich meinte admin-rechte für den Server, um den AD-Server für den jeweiligen Standort administrieren zu können, ohne das dieser sich durch das
ganze Netzwerk der anderen Standorte browsen kann.

Schon mal danke für eure Antworten !
Mitglied: geTuemII
geTuemII 11.06.2008 um 13:37:14 Uhr
Goto Top
Nur so aus dem Gedächnis:

Da gab es doch im AD für die einzelnen Objekte in den Eigenschften ein Register Verwaltet von. Das sollte es auch für den einzelnen DC geben.

geTuemII
Mitglied: 51705
51705 11.06.2008 um 20:01:30 Uhr
Goto Top
Hallo,

einen lokalen Admin kann es prinzipiell auf einem DC nicht geben. Es bleibt somit der von geTuemII skizzierte Ansatz. Zusätzlich müssen dann auch die Zuständigkeiten innerhalb des AD selbst geregelt werden, damit nicht das ganze AD durch einen Standort-Admin gestört werden kann.

Grüße, Steffen