8
Rechner in die Domäne heben, ohne zur Gruppe der Domänen-Admins zu gehören
Hallo,
Lage: In der Aufbauphase der neuen Domäne hier waren meine System- und Nutzerbetreuer (also die, die meistens zum Nutzer rennen bzw. die neuen Rechner konfigureiren) in der Gruppe der Domänen-Admins.
Meine Absicht ist es, zwar diesen Zugriff einzuschränken, die Nutzerbetreuer jedoch in Ihrer Arbeit nicht großartig zu behindern. Denn es müssen ja nicht wirklich 10 Nutzerbetreuer Domänenadmins sein. Sie sollten aber noch Netzwerkkennungen ändern (was im Notfall auch lokal ginge) und Rechner in die Domäne heben können, ... also eine Art eingeschränkter Administrator halt.
Kann ich dies irgendwie umsetzen, und wenn ja, wie?
Ich setze einen Windows 2000 Advanced Server mit AD ein.
Danke
Jan
Lage: In der Aufbauphase der neuen Domäne hier waren meine System- und Nutzerbetreuer (also die, die meistens zum Nutzer rennen bzw. die neuen Rechner konfigureiren) in der Gruppe der Domänen-Admins.
Meine Absicht ist es, zwar diesen Zugriff einzuschränken, die Nutzerbetreuer jedoch in Ihrer Arbeit nicht großartig zu behindern. Denn es müssen ja nicht wirklich 10 Nutzerbetreuer Domänenadmins sein. Sie sollten aber noch Netzwerkkennungen ändern (was im Notfall auch lokal ginge) und Rechner in die Domäne heben können, ... also eine Art eingeschränkter Administrator halt.
Kann ich dies irgendwie umsetzen, und wenn ja, wie?
Ich setze einen Windows 2000 Advanced Server mit AD ein.
Danke
Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 56349
Url: https://administrator.de/contentid/56349
Printed on: April 24, 2024 at 13:04 o'clock
8 Comments
Latest comment
Also ich kenne eine lösung von W2K3 aber vielleicht kann man das auch.
Ist dir der begriff "Delegation" bekannt.
Du kannst einem bestimmten User/einer Gruppe das Recht geben GP's, Computer ect... zuerstellen.
Und auch PCs in die Domain aufzunehmen.
Musst mal in der AD eine Rechtsklick auf deine FQDN machen und dort müsste Delegations auftauchen.
Hoffe konnte dir helfen
Stefan
Ist dir der begriff "Delegation" bekannt.
Du kannst einem bestimmten User/einer Gruppe das Recht geben GP's, Computer ect... zuerstellen.
Und auch PCs in die Domain aufzunehmen.
Musst mal in der AD eine Rechtsklick auf deine FQDN machen und dort müsste Delegations auftauchen.
Hoffe konnte dir helfen
Stefan
Hallo,
danke für die schnelle Antwort.
Auf deinen Hinweis hin, habe ich mal im Kontext des FQDN gesucht und den Punkt "Objektverwaltung" gefunden. Dort konnte ich für meine Globale Gruppe die Aufgabe "Fügt einen Computer einer Domäne hinzu" zuweisen. Das ganze läuft da über einen Assistenten. Jetzt müsste ich nurnoch wissen, wie ich diese Delegierung von der Gruppe wieder entfernen kann, ohne sie zu löschen.
Gruß Jan
danke für die schnelle Antwort.
Auf deinen Hinweis hin, habe ich mal im Kontext des FQDN gesucht und den Punkt "Objektverwaltung" gefunden. Dort konnte ich für meine Globale Gruppe die Aufgabe "Fügt einen Computer einer Domäne hinzu" zuweisen. Das ganze läuft da über einen Assistenten. Jetzt müsste ich nurnoch wissen, wie ich diese Delegierung von der Gruppe wieder entfernen kann, ohne sie zu löschen.
Gruß Jan
mitglieder der Gruppe "Kontenoperator" können in einer W2k-Domäne Computer in die Domäne heben und entfernen.
mfg TZ
mfg TZ
Hallo,
danke für die schnelle Antwort.
Auf deinen Hinweis hin, habe ich mal im
Kontext des FQDN gesucht und den Punkt
"Objektverwaltung" gefunden. Dort
konnte ich für meine Globale Gruppe die
Aufgabe "Fügt einen Computer einer
Domäne hinzu" zuweisen. Das ganze
läuft da über einen Assistenten.
Jetzt müsste ich nurnoch wissen, wie ich
diese Delegierung von der Gruppe wieder
entfernen kann, ohne sie zu löschen.
Gruß Jan
danke für die schnelle Antwort.
Auf deinen Hinweis hin, habe ich mal im
Kontext des FQDN gesucht und den Punkt
"Objektverwaltung" gefunden. Dort
konnte ich für meine Globale Gruppe die
Aufgabe "Fügt einen Computer einer
Domäne hinzu" zuweisen. Das ganze
läuft da über einen Assistenten.
Jetzt müsste ich nurnoch wissen, wie ich
diese Delegierung von der Gruppe wieder
entfernen kann, ohne sie zu löschen.
Gruß Jan
Bitte bitte ist ja kein Problem.
Also du kannst die Delegation aufheben indem du die User/Gruppe Verschiebst dann ist die Delegation aufgelöst, ich kenne sonst keine andere möglichkeit :-P
Also du kannst die Delegation aufheben indem
du die User/Gruppe Verschiebst dann ist die
Delegation aufgelöst, ich kenne sonst
keine andere möglichkeit :-P
du die User/Gruppe Verschiebst dann ist die
Delegation aufgelöst, ich kenne sonst
keine andere möglichkeit :-P
Ok. Ist ja nicht ganz so kriegsentscheidend, solange es geht.
mitglieder der Gruppe
"Kontenoperator" können in
einer W2k-Domäne Computer in die
Domäne heben und entfernen.
"Kontenoperator" können in
einer W2k-Domäne Computer in die
Domäne heben und entfernen.
Die Beschreibung "Mitglieder können Domänenbenutzer und -gruppen verwalten" weist für mich darauf hin, dass er auch Nutzer/Gruppen anlegen (usw) kann. Das wäre mir zu weitreichend.
Aber wenn es mit der Delegierung klappt bin ich schon zurfrieden. Ich werde das meine NuBes mal die Tage testen lassen.
Gruß Jan
GPO --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale richtlinein --> Zuweisen von Benutzerrechten --> Hintzufügen von Arbeitsstationen zur Domain
geTuemII
geTuemII
Wie oben schon gesagt, ich füge sie im AD in die Gruppe Konto-Operatoren hinzu. Somit habe ich am einfachsten den Überblick und funktioniert prima.
Gruß
Dani
Gruß
Dani
Wie oben schon gesagt, ich füge sie im
AD in die Gruppe Konto-Operatoren hinzu.
Somit habe ich am einfachsten den
Überblick und funktioniert prima.
Gruß
Dani
AD in die Gruppe Konto-Operatoren hinzu.
Somit habe ich am einfachsten den
Überblick und funktioniert prima.
Gruß
Dani
Hallo,
der Rest hat leider nicht geklappt.. Ich hab jetzt den Leuten schweren Herzens Kontenoperatoren-Status gegeben. Aber es klappt und das ist die Hauptsache.
Danke!
