Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin temporär das Recht User anzulegen entziehen

Frage Microsoft Windows Userverwaltung

Mitglied: nerdwatch

nerdwatch (Level 1) - Jetzt verbinden

13.07.2008, aktualisiert 22:45 Uhr, 3610 Aufrufe, 2 Kommentare

Zugriff auf Server soll weiterhin bestehen, aber Benutzerverwaltung soll beschränkt werden für Urlaubsvertretung

Hallo, ich möchte einem Hilfs-Admin in unserer Domäne Zugriff über Besitzübernahme bei Dateirechten und auch das Erstellen/Kennwortrücksetzung etc. weiterer Benutzer verweigern, während ich im Urlaub bin. Ist das eine fixe Idee oder geht das irgendwie? Kann ihn nicht aus der Gruppe Domänenadmins entfernen, dann würden zu viele Dinge nicht mehr funktionieren. Er sollte aber möglichst keinerlei AD-Userverwaltung bedienen können.

Gruss Dietrich
Mitglied: 60897
13.07.2008 um 21:46 Uhr
Mit Gruppenrichtlinien ist das hinzubekommen. Baue eine Gruppenrichtlinie mit der entsprechenden Verweigerung und lasse sie den Hilfsadmin übernehmen.
Du solltest allerdings einige hundert weitere Einstellungen ebenfalls machen, denn wenn der sucht, findet er die Lücke. Als Dom-Admin z.B. darf er ja auch Gruppenrichtlinien außer Kraft setzen.
Das wird schon ein wenig Denk-Arbeit, um zumindest mal die wichtigsten Eventualitäten im Griff zu haben. Und wenn er Zugriff auf die Datensicherung hat (besonders natürlich auf die Rücksicherung!)...
Also entweder vertraust Du ihm oder Du nimmst ihm die Dom-Admin-Rechte weg. Alles andere ist eigentlich Blödsinn. Wozu soll er D-A sein, aber dessen Rechte nicht haben? Ich hoffe, er hat wenigstens einen eigenen Account und kennt das Admin-Passwort nicht, denn sonst hast Du jetzt komplett verloren, Du müsstest Dich nämlich selbst mit einem one-way-ticket einschränken. Und wie gesagt: Hat er Zugriff auf das Backup, war's das.

Wenn er Kennwörter nicht zurücksetzen darf, dann aber auch nicht für User, die sich ihres vergeigt haben, das ist klar, oder?

Am Einfachsten wäre vielleicht, dem jetzigen User ein neues Passwort zu vergeben, das er dann nicht kennt und für ihn einen neuen User zu basteln. Allerdings ist das schon auch eine Art von direktem Mißtrauensbeweis. Und meinst Du, wenn der ein bisschen was drauf hat, macht er sich nicht auch in Deinem Beisein neue User, wie er sie braucht, wenn er will?

Bonkers
Bitte warten ..
Mitglied: jimmyone
13.07.2008 um 22:45 Uhr
Ich finde das eh eine ganz komische Art und Weise...
Man ist ja nicht ohne Grund Domänen-Admin und wenn Du ihm nicht vertraust, dann ist das ein Problem.

Und jemand der sich nur halbwegs im ADS auskennt und zur Domänen-Admins Gruppe gehört, hat eigentlich eh schon gewonnen.

Warum soll er das denn nicht dürfen?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...