Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin temporär das Recht User anzulegen entziehen

Frage Microsoft Windows Userverwaltung

Mitglied: nerdwatch

nerdwatch (Level 1) - Jetzt verbinden

13.07.2008, aktualisiert 22:45 Uhr, 3620 Aufrufe, 2 Kommentare

Zugriff auf Server soll weiterhin bestehen, aber Benutzerverwaltung soll beschränkt werden für Urlaubsvertretung

Hallo, ich möchte einem Hilfs-Admin in unserer Domäne Zugriff über Besitzübernahme bei Dateirechten und auch das Erstellen/Kennwortrücksetzung etc. weiterer Benutzer verweigern, während ich im Urlaub bin. Ist das eine fixe Idee oder geht das irgendwie? Kann ihn nicht aus der Gruppe Domänenadmins entfernen, dann würden zu viele Dinge nicht mehr funktionieren. Er sollte aber möglichst keinerlei AD-Userverwaltung bedienen können.

Gruss Dietrich
Mitglied: 60897
13.07.2008 um 21:46 Uhr
Mit Gruppenrichtlinien ist das hinzubekommen. Baue eine Gruppenrichtlinie mit der entsprechenden Verweigerung und lasse sie den Hilfsadmin übernehmen.
Du solltest allerdings einige hundert weitere Einstellungen ebenfalls machen, denn wenn der sucht, findet er die Lücke. Als Dom-Admin z.B. darf er ja auch Gruppenrichtlinien außer Kraft setzen.
Das wird schon ein wenig Denk-Arbeit, um zumindest mal die wichtigsten Eventualitäten im Griff zu haben. Und wenn er Zugriff auf die Datensicherung hat (besonders natürlich auf die Rücksicherung!)...
Also entweder vertraust Du ihm oder Du nimmst ihm die Dom-Admin-Rechte weg. Alles andere ist eigentlich Blödsinn. Wozu soll er D-A sein, aber dessen Rechte nicht haben? Ich hoffe, er hat wenigstens einen eigenen Account und kennt das Admin-Passwort nicht, denn sonst hast Du jetzt komplett verloren, Du müsstest Dich nämlich selbst mit einem one-way-ticket einschränken. Und wie gesagt: Hat er Zugriff auf das Backup, war's das.

Wenn er Kennwörter nicht zurücksetzen darf, dann aber auch nicht für User, die sich ihres vergeigt haben, das ist klar, oder?

Am Einfachsten wäre vielleicht, dem jetzigen User ein neues Passwort zu vergeben, das er dann nicht kennt und für ihn einen neuen User zu basteln. Allerdings ist das schon auch eine Art von direktem Mißtrauensbeweis. Und meinst Du, wenn der ein bisschen was drauf hat, macht er sich nicht auch in Deinem Beisein neue User, wie er sie braucht, wenn er will?

Bonkers
Bitte warten ..
Mitglied: jimmyone
13.07.2008 um 22:45 Uhr
Ich finde das eh eine ganz komische Art und Weise...
Man ist ja nicht ohne Grund Domänen-Admin und wenn Du ihm nicht vertraust, dann ist das ein Problem.

Und jemand der sich nur halbwegs im ADS auskennt und zur Domänen-Admins Gruppe gehört, hat eigentlich eh schon gewonnen.

Warum soll er das denn nicht dürfen?
Bitte warten ..
Ähnliche Inhalte
Windows Server
Temporäres Admin Profil (4)

Frage von ukulele-7 zum Thema Windows Server ...

Windows Server
Domänen Admins produktiv? (16)

Frage von Ramsys1991 zum Thema Windows Server ...

Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Neue Wissensbeiträge
Linux Netzwerk

Ping und das einstellbare Bytepattern

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(3)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
MSA 2050 RAID Konfig (21)

Frage von Leo-le zum Thema SAN, NAS, DAS ...

Netzwerkmanagement
Windows Server 2008 R2: "netsh reset" nicht verfügbar? (10)

Frage von RickTucker zum Thema Netzwerkmanagement ...

Netzwerkmanagement
Suche eine Software für Cloudverwaltung (6)

Frage von tsunami zum Thema Netzwerkmanagement ...

Google Android
Musik Wiedergabe am PC mit Smartphone über Bluetooth steuern (5)

Frage von justlukas zum Thema Google Android ...