Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin temporär das Recht User anzulegen entziehen

Frage Microsoft Windows Userverwaltung

Mitglied: nerdwatch

nerdwatch (Level 1) - Jetzt verbinden

13.07.2008, aktualisiert 22:45 Uhr, 3614 Aufrufe, 2 Kommentare

Zugriff auf Server soll weiterhin bestehen, aber Benutzerverwaltung soll beschränkt werden für Urlaubsvertretung

Hallo, ich möchte einem Hilfs-Admin in unserer Domäne Zugriff über Besitzübernahme bei Dateirechten und auch das Erstellen/Kennwortrücksetzung etc. weiterer Benutzer verweigern, während ich im Urlaub bin. Ist das eine fixe Idee oder geht das irgendwie? Kann ihn nicht aus der Gruppe Domänenadmins entfernen, dann würden zu viele Dinge nicht mehr funktionieren. Er sollte aber möglichst keinerlei AD-Userverwaltung bedienen können.

Gruss Dietrich
Mitglied: 60897
13.07.2008 um 21:46 Uhr
Mit Gruppenrichtlinien ist das hinzubekommen. Baue eine Gruppenrichtlinie mit der entsprechenden Verweigerung und lasse sie den Hilfsadmin übernehmen.
Du solltest allerdings einige hundert weitere Einstellungen ebenfalls machen, denn wenn der sucht, findet er die Lücke. Als Dom-Admin z.B. darf er ja auch Gruppenrichtlinien außer Kraft setzen.
Das wird schon ein wenig Denk-Arbeit, um zumindest mal die wichtigsten Eventualitäten im Griff zu haben. Und wenn er Zugriff auf die Datensicherung hat (besonders natürlich auf die Rücksicherung!)...
Also entweder vertraust Du ihm oder Du nimmst ihm die Dom-Admin-Rechte weg. Alles andere ist eigentlich Blödsinn. Wozu soll er D-A sein, aber dessen Rechte nicht haben? Ich hoffe, er hat wenigstens einen eigenen Account und kennt das Admin-Passwort nicht, denn sonst hast Du jetzt komplett verloren, Du müsstest Dich nämlich selbst mit einem one-way-ticket einschränken. Und wie gesagt: Hat er Zugriff auf das Backup, war's das.

Wenn er Kennwörter nicht zurücksetzen darf, dann aber auch nicht für User, die sich ihres vergeigt haben, das ist klar, oder?

Am Einfachsten wäre vielleicht, dem jetzigen User ein neues Passwort zu vergeben, das er dann nicht kennt und für ihn einen neuen User zu basteln. Allerdings ist das schon auch eine Art von direktem Mißtrauensbeweis. Und meinst Du, wenn der ein bisschen was drauf hat, macht er sich nicht auch in Deinem Beisein neue User, wie er sie braucht, wenn er will?

Bonkers
Bitte warten ..
Mitglied: jimmyone
13.07.2008 um 22:45 Uhr
Ich finde das eh eine ganz komische Art und Weise...
Man ist ja nicht ohne Grund Domänen-Admin und wenn Du ihm nicht vertraust, dann ist das ein Problem.

Und jemand der sich nur halbwegs im ADS auskennt und zur Domänen-Admins Gruppe gehört, hat eigentlich eh schon gewonnen.

Warum soll er das denn nicht dürfen?
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(2)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Windows 10
Windows Store Apps ohne Windows Store installieren (10)

Frage von keefien zum Thema Windows 10 ...

Internet Domänen
Nameserver ein Geist? (9)

Frage von zelamedia zum Thema Internet Domänen ...