Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin temporär das Recht User anzulegen entziehen

Frage Microsoft Windows Userverwaltung

Mitglied: nerdwatch

nerdwatch (Level 1) - Jetzt verbinden

13.07.2008, aktualisiert 22:45 Uhr, 3627 Aufrufe, 2 Kommentare

Zugriff auf Server soll weiterhin bestehen, aber Benutzerverwaltung soll beschränkt werden für Urlaubsvertretung

Hallo, ich möchte einem Hilfs-Admin in unserer Domäne Zugriff über Besitzübernahme bei Dateirechten und auch das Erstellen/Kennwortrücksetzung etc. weiterer Benutzer verweigern, während ich im Urlaub bin. Ist das eine fixe Idee oder geht das irgendwie? Kann ihn nicht aus der Gruppe Domänenadmins entfernen, dann würden zu viele Dinge nicht mehr funktionieren. Er sollte aber möglichst keinerlei AD-Userverwaltung bedienen können.

Gruss Dietrich
Mitglied: 60897
13.07.2008 um 21:46 Uhr
Mit Gruppenrichtlinien ist das hinzubekommen. Baue eine Gruppenrichtlinie mit der entsprechenden Verweigerung und lasse sie den Hilfsadmin übernehmen.
Du solltest allerdings einige hundert weitere Einstellungen ebenfalls machen, denn wenn der sucht, findet er die Lücke. Als Dom-Admin z.B. darf er ja auch Gruppenrichtlinien außer Kraft setzen.
Das wird schon ein wenig Denk-Arbeit, um zumindest mal die wichtigsten Eventualitäten im Griff zu haben. Und wenn er Zugriff auf die Datensicherung hat (besonders natürlich auf die Rücksicherung!)...
Also entweder vertraust Du ihm oder Du nimmst ihm die Dom-Admin-Rechte weg. Alles andere ist eigentlich Blödsinn. Wozu soll er D-A sein, aber dessen Rechte nicht haben? Ich hoffe, er hat wenigstens einen eigenen Account und kennt das Admin-Passwort nicht, denn sonst hast Du jetzt komplett verloren, Du müsstest Dich nämlich selbst mit einem one-way-ticket einschränken. Und wie gesagt: Hat er Zugriff auf das Backup, war's das.

Wenn er Kennwörter nicht zurücksetzen darf, dann aber auch nicht für User, die sich ihres vergeigt haben, das ist klar, oder?

Am Einfachsten wäre vielleicht, dem jetzigen User ein neues Passwort zu vergeben, das er dann nicht kennt und für ihn einen neuen User zu basteln. Allerdings ist das schon auch eine Art von direktem Mißtrauensbeweis. Und meinst Du, wenn der ein bisschen was drauf hat, macht er sich nicht auch in Deinem Beisein neue User, wie er sie braucht, wenn er will?

Bonkers
Bitte warten ..
Mitglied: jimmyone
13.07.2008 um 22:45 Uhr
Ich finde das eh eine ganz komische Art und Weise...
Man ist ja nicht ohne Grund Domänen-Admin und wenn Du ihm nicht vertraust, dann ist das ein Problem.

Und jemand der sich nur halbwegs im ADS auskennt und zur Domänen-Admins Gruppe gehört, hat eigentlich eh schon gewonnen.

Warum soll er das denn nicht dürfen?
Bitte warten ..
Ähnliche Inhalte
Microsoft
Einmalpasswort Lokaler Admin oder Temporäre admin rechte
Frage von markthom87Microsoft2 Kommentare

Hallo, Ich möchte das für die Installation von Programmen auf einem Rechner, der User die möglichkeit hat per einmal ...

Windows Netzwerk
C:WindowsPolicyDefinitions - keine Rechte als Domänen-Admin???
gelöst Frage von departure69Windows Netzwerk5 Kommentare

Hallo. wir möchten unsere Windows-7-Clients (endlich) auf den IE10 bringen (derzeit IE8, die User maulen, weil immer mehr HTML5-Seiteninhalte ...

Datenschutz
CMD - Admin Check - User mit Admin Rechten finden
Anleitung von K-ist-KDatenschutz8 Kommentare

Hallo Werte IT Kollegen, hier ein kleines Script womit man heraus findet ob ein User Admin Rechte hat. Wenn ...

Windows Userverwaltung
Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?
Frage von M.MarzWindows Userverwaltung2 Kommentare

Hallo zusammen, welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne? Sind es die beiden o. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 22 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...