Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin temporär das Recht User anzulegen entziehen

Frage Microsoft Windows Userverwaltung

Mitglied: nerdwatch

nerdwatch (Level 1) - Jetzt verbinden

13.07.2008, aktualisiert 22:45 Uhr, 3615 Aufrufe, 2 Kommentare

Zugriff auf Server soll weiterhin bestehen, aber Benutzerverwaltung soll beschränkt werden für Urlaubsvertretung

Hallo, ich möchte einem Hilfs-Admin in unserer Domäne Zugriff über Besitzübernahme bei Dateirechten und auch das Erstellen/Kennwortrücksetzung etc. weiterer Benutzer verweigern, während ich im Urlaub bin. Ist das eine fixe Idee oder geht das irgendwie? Kann ihn nicht aus der Gruppe Domänenadmins entfernen, dann würden zu viele Dinge nicht mehr funktionieren. Er sollte aber möglichst keinerlei AD-Userverwaltung bedienen können.

Gruss Dietrich
Mitglied: 60897
13.07.2008 um 21:46 Uhr
Mit Gruppenrichtlinien ist das hinzubekommen. Baue eine Gruppenrichtlinie mit der entsprechenden Verweigerung und lasse sie den Hilfsadmin übernehmen.
Du solltest allerdings einige hundert weitere Einstellungen ebenfalls machen, denn wenn der sucht, findet er die Lücke. Als Dom-Admin z.B. darf er ja auch Gruppenrichtlinien außer Kraft setzen.
Das wird schon ein wenig Denk-Arbeit, um zumindest mal die wichtigsten Eventualitäten im Griff zu haben. Und wenn er Zugriff auf die Datensicherung hat (besonders natürlich auf die Rücksicherung!)...
Also entweder vertraust Du ihm oder Du nimmst ihm die Dom-Admin-Rechte weg. Alles andere ist eigentlich Blödsinn. Wozu soll er D-A sein, aber dessen Rechte nicht haben? Ich hoffe, er hat wenigstens einen eigenen Account und kennt das Admin-Passwort nicht, denn sonst hast Du jetzt komplett verloren, Du müsstest Dich nämlich selbst mit einem one-way-ticket einschränken. Und wie gesagt: Hat er Zugriff auf das Backup, war's das.

Wenn er Kennwörter nicht zurücksetzen darf, dann aber auch nicht für User, die sich ihres vergeigt haben, das ist klar, oder?

Am Einfachsten wäre vielleicht, dem jetzigen User ein neues Passwort zu vergeben, das er dann nicht kennt und für ihn einen neuen User zu basteln. Allerdings ist das schon auch eine Art von direktem Mißtrauensbeweis. Und meinst Du, wenn der ein bisschen was drauf hat, macht er sich nicht auch in Deinem Beisein neue User, wie er sie braucht, wenn er will?

Bonkers
Bitte warten ..
Mitglied: jimmyone
13.07.2008 um 22:45 Uhr
Ich finde das eh eine ganz komische Art und Weise...
Man ist ja nicht ohne Grund Domänen-Admin und wenn Du ihm nicht vertraust, dann ist das ein Problem.

Und jemand der sich nur halbwegs im ADS auskennt und zur Domänen-Admins Gruppe gehört, hat eigentlich eh schon gewonnen.

Warum soll er das denn nicht dürfen?
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen (16)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (14)

Frage von marshall75000 zum Thema Router & Routing ...

Microsoft Office
Saubere HTML aus Word-Dokument (14)

Frage von peterpa zum Thema Microsoft Office ...

E-Mail
gelöst Probleme beim E-Mail Empfang (12)

Frage von TommyB83 zum Thema E-Mail ...