4
SBS 2011 Admin mit eingeschränkten Rechnten, früher Hauptbenutzer
Hallo zusammen,
und zwar habe ich folgendes Problem bei der Einrichtung / Verwaltung eines Small Business Server 2011. Ich habe ein Netzwerk mit rund 12 Clients. Die Benutzer an den Clients sollen nur Ihre zugewiesenen Programme und Dateien nutzen können. Dies konnte auch über die Benutzerrolle "Standardbenutzer" sehr gut realisiert werden.
Desweitern gibt es zwei "Netzwerkadministratoren" die Vollzugriff auf das gesamte System, die Clients und der Server haben.
Es soll nun aber noch ein "Standardbenutzer" mit zusätzlichen Rechten versehen werden, sozusagen als "Hauptbenutzer". Dieser soll die Möglichkeit haben bei Änderungen und Installationen an den Clients quasi die Berechtigung zu erteilen. Er soll sich jedoch nicht am Server SBS2011 direkt anmelden können. Und er soll vor allem nicht in der Lage sein andere "Netzwerkadministratoren" zu löschen.
Ich habe bisher weder eine entsprechende Benutzerrolle gefunden noch erstellen können.
Was die Organisations-Admins, Schemen-Admins und Domänen-Admins angeht, auch diese können sich alle am Server anmelden und ggf. auch andere Admins löschen oder Berechtigungen ändern. Somit kommen diese Rollen auch nicht in Frage.
Hintergrund ist der: Wenn wir "Netzwerkadministratoren" nicht im Hause sind, soll dieser "Hauptbenutzer / eingeschränkter Admin" zumindestens in der Lage sein bei Problemen an den Clients zu helfen und neue Programme auf den Domänen-PCs installieren.
Für eure Hilfe wäre ich euch sehr dankbar.
Lg
Thunder8000
und zwar habe ich folgendes Problem bei der Einrichtung / Verwaltung eines Small Business Server 2011. Ich habe ein Netzwerk mit rund 12 Clients. Die Benutzer an den Clients sollen nur Ihre zugewiesenen Programme und Dateien nutzen können. Dies konnte auch über die Benutzerrolle "Standardbenutzer" sehr gut realisiert werden.
Desweitern gibt es zwei "Netzwerkadministratoren" die Vollzugriff auf das gesamte System, die Clients und der Server haben.
Es soll nun aber noch ein "Standardbenutzer" mit zusätzlichen Rechten versehen werden, sozusagen als "Hauptbenutzer". Dieser soll die Möglichkeit haben bei Änderungen und Installationen an den Clients quasi die Berechtigung zu erteilen. Er soll sich jedoch nicht am Server SBS2011 direkt anmelden können. Und er soll vor allem nicht in der Lage sein andere "Netzwerkadministratoren" zu löschen.
Ich habe bisher weder eine entsprechende Benutzerrolle gefunden noch erstellen können.
Was die Organisations-Admins, Schemen-Admins und Domänen-Admins angeht, auch diese können sich alle am Server anmelden und ggf. auch andere Admins löschen oder Berechtigungen ändern. Somit kommen diese Rollen auch nicht in Frage.
Hintergrund ist der: Wenn wir "Netzwerkadministratoren" nicht im Hause sind, soll dieser "Hauptbenutzer / eingeschränkter Admin" zumindestens in der Lage sein bei Problemen an den Clients zu helfen und neue Programme auf den Domänen-PCs installieren.
Für eure Hilfe wäre ich euch sehr dankbar.
Lg
Thunder8000
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191235
Url: https://administrator.de/contentid/191235
Printed on: April 16, 2024 at 20:04 o'clock
4 Comments
Latest comment
Du könntest dem Benutzer Adminrechte auf den PCs geben,z.B.:
1. Neue Gruppe "Lokale Admins" erstellen
2. Benutzer hinzufügen
3. Gruppenrichtlinie (Computer) erstellen und deine Domänengruppe "Lokale Admins" der Gruppe "Administratoren" am PC hinzufügen lassen. (Computerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Lokale Bneutzer und Gruppen)
4. Die Gruppenrichtlinie deiner Comptuer-OU hinzufügen
1. Neue Gruppe "Lokale Admins" erstellen
2. Benutzer hinzufügen
3. Gruppenrichtlinie (Computer) erstellen und deine Domänengruppe "Lokale Admins" der Gruppe "Administratoren" am PC hinzufügen lassen. (Computerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Lokale Bneutzer und Gruppen)
4. Die Gruppenrichtlinie deiner Comptuer-OU hinzufügen
Moin,
als Tipp fürs AD: Du kannst dem Benutzer im AD eine einstellung verpassen die ihm untersagt sich auf PC/Server XY anzumelden.
Somit erstell ihm den Benutzer UND trag dort die Systeme ein auf denen er sich net anmelden darf.
Damit wäre denke ich ein großer schritt für dein Problem getan.
Gruß Zero
als Tipp fürs AD: Du kannst dem Benutzer im AD eine einstellung verpassen die ihm untersagt sich auf PC/Server XY anzumelden.
Somit erstell ihm den Benutzer UND trag dort die Systeme ein auf denen er sich net anmelden darf.
Damit wäre denke ich ein großer schritt für dein Problem getan.
Gruß Zero
Hallo,
vielen Dank für die prompte Hilfestellung. Dies werde ich so machen. ´Kann ich auf diesem Wege auf einen Administrator z.B. ausschließen auf verschiedene Ordner zuzugreifen?
Da es einige interne Ordner gibt, auf die dieser Admin ebenfalls nicht zugreifen soll, aus Datenschutzgründen.
MfG
Thunder
vielen Dank für die prompte Hilfestellung. Dies werde ich so machen. ´Kann ich auf diesem Wege auf einen Administrator z.B. ausschließen auf verschiedene Ordner zuzugreifen?
Da es einige interne Ordner gibt, auf die dieser Admin ebenfalls nicht zugreifen soll, aus Datenschutzgründen.
MfG
Thunder
Nachdem die Daten sicherlich auf dem Server gespeichert sind, ist es ja dir überlassen, wer auf diese Zugreifen darf. Hast du bspw. den Zugriff auf "Domänen-Admins" beschränkt, kann der lokale Admin, der ja nicht Mitglied der Gruppe ist, auch nicht in den Ordner sehen.
