Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neuer Domain Account fuer NICHT Domain Administratoren (Win Domain)

Mitglied: FakeAccount

FakeAccount (Level 1) - Jetzt verbinden

21.09.2010 um 18:35 Uhr, 3696 Aufrufe, 6 Kommentare

Hallo Freunde der bunten IT,

ich (Domain Admin) moechte ein paar neue Domain Accounts fuer
unsere Administratoren (nicht Domain Admins) erstellen mit welchen
sie sich auf Server verbinden und sie warten koennen. Auch sollen sie
Systemeinstellungen aendern koennen, Programme installieren,
Netzwerkeinstellungen aendern duerfen etc. Verbindung auf das
jeweilige System erfolgt zum groessten Teil per RDP.

Was waere nun der beste Weg? Sicherlich waere es am Besten eine
GPO mit den entsprechenden Systemen zu erstellen (dauert nur lang,
da fuer diese Abteilung ca. 150 System betroffen sein werden).

Gibt es nicht auch irgendeine sinnvolle Built-in Domain Gruppe die das
schneller loesen koennte? Sowas wie Server Operators oder
aehnliches?

Gruesse,

Steve
Mitglied: Dye.Kehasa
21.09.2010 um 19:30 Uhr
Hallo

Bei den von dir beschriebenen Anforderungen, musst du die Benutzer wohl zu Administratoren auf dem Server machen. Ob ich das jetzt grundsätzlich für sinnvoll halte, vielenLeuten administrativen Zugriff auf eine solchen Vielzahl von Servern zu geben lasse ich mal dahin gestellt.

Frage ist, was dir eine Domänengruppe bringen würde ?! Die ist ja auch erst einmal nicht Mitglied in der Administratorengruppe.

Wieso also nicht eine Domänengruppe erstellen, die Leute da rein packen, die Server in eine Gruppe packen und eine GPO mit eingeschränkten Gruppen erstellen und die Richtlinienübernahme auf diese Gruppe mit den Servern beschränken.

Du wirst kaum daran vorbei kommen an irgendeiner Stelle die 150 Systeme mal zusammen suchen zu müssen

Gruß

Hubert
Bitte warten ..
Mitglied: creyzee
21.09.2010 um 20:00 Uhr
Hallo,

ich würde das auch mit GPO und Domänengruppen regeln. Dann hast du es später leichter, wenn Hilfsadmins ausscheiden oder dazu kommen.

Ich rate dir aber auch (ohne den Netz zu kennen), die Server für die Verwaltung logisch zu gruppieren und nicht allen Admins alle Server freizuschalten. Und aktiviere in jedem Fall eine Protokollierung der Aktivitäten...

Viel Erfolg, creyzee
Bitte warten ..
Mitglied: FakeAccount
22.09.2010 um 10:24 Uhr
Super, vielen Dank schon mal!
Dann werde ich das so wie von euch vorgeschlagen machen, die Liste habe ich mittlerweile schon =)

Beste Gruesse!
Bitte warten ..
Mitglied: Dye.Kehasa
22.09.2010 um 18:24 Uhr
ahja...

vergiss nicht auch dich als Domänen-Admin in die Richlinie aufzunehmen ;)
Bitte warten ..
Mitglied: FakeAccount
23.09.2010 um 17:30 Uhr
Warum meinst du? Da ich Domain Admin bin habe ich doch eh vollen Zugriff. Oder hat das etwas anderes auf sich?
Bitte warten ..
Mitglied: Dye.Kehasa
23.09.2010 um 20:16 Uhr
Zitat von FakeAccount:
Da ich Domain Admin bin habe ich doch eh vollen Zugriff.

Es scheint, als wäre mein Hinweis angebracht...

Wenn du die "Eingeschränkte Gruppe" ohne deine Wenigkeit definierst hast du die Rechte nicht mehr !!

Auszug aus www.gruppenrichtlinien.de :
So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Getrenntes Onlinearchiv mit neuem Account

gelöst Frage von Noob80Exchange Server2 Kommentare

Hallo! Folgendes Problem unter Exchange 2010: - User geheiratet, neuer Name - Mailbox deaktiviert - Useraccount gelöscht und neuen ...

Exchange Server

Exchange Account neuem AD Account zuordnen

Frage von jackodaExchange Server2 Kommentare

Hallo zusammen, das ist meine erste Frage und ich hoffe ich beschreibe Sie richtig für Euch. Der Problemfall der ...

Windows Server

KDS Stammschlüssel fuer Manages Service Accounts

gelöst Frage von winlinWindows Server

Hi, habe ein Problem. Habe einen MSA auf meinem Domain Controller erstellt. Diesen sehe ich im Container in der ...

Samba

Samba-Domain-Account funktioniert nur temporär

gelöst Frage von D1Ck3nSamba4 Kommentare

Hallo zusammen, ich habe für einen neuen Benutzer einen Domain-Account auf unserem Samba-Server (Ubuntu 14.04 LTS) angelegt und mich ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

Microsoft Office
Freitagsfrage? Excel und CSV - Import statt öffnen
gelöst Frage von KraemerMicrosoft Office7 Kommentare

Moin zusammen, entweder fallen mir heute nicht die richtigen Wörter für Google ein, oder es geht schlicht nicht. Gibt ...

Entwicklung
Batch - Überprüfung
gelöst Frage von apex.predator24Entwicklung6 Kommentare

Hallo Zusammen Gibt es eine Möglichkeit, einen Prozess im TaskManager über eine Batch-Datei zu überprüfen ob dieser läuft oder ...