Hilfsadministratoren

Diskutiere Hilfsadministratoren im Windows Server 2003 Forum im Bereich Server Systeme; Hallo, ich habe da mal ne Frage für die es vielleicht bereits das passende Rad gibt. Fallbeispiel: - Windows Server 2003 als...
T

Tigger6

Threadstarter
Mitglied seit
26.10.2004
Beiträge
1
Hallo,

ich habe da mal ne Frage für die es vielleicht bereits das passende Rad gibt.

Fallbeispiel:
- Windows Server 2003 als AD-Domänencontroller (ohne weitere Unterstruktur).
- Drei reguläre Systemadministratoren welche alle Aufgaben seitens DC betreffen erledigen.
- Eine unbegrenzte Anzahl von Hilfsadministratoren welche auf den Client´s alle administrativen Aufgaben erledigen sollen und dann noch der "normale" Benutzer, der höchstens über lokale Hauptbenutzerrechte verfügt.

Problem:
-Jeder Client-PC hat nach Aufnahme in die Domäne in der lokalen Gruppe "Adminstratoren" den Eintrag "Domänen-Admins". Mit diesem Account ist es grundsätzlich möglich mit dem entspr. User administrativ tätig zu werden.
- Alle Hilfsadministratoren sollen lokal adminstrativ arbeiten können ohne aber auf der Domäne selber etwas zu verändern :nono (außer Computerkonten anlegen und Benutzer pflegen ohne sich selber hochstufen zu können sollen keine Funktionen verfügbar sein).
- Hier liegt aber das Problem!
Wie kann ich diese Aufgabenstellung realisieren??? :danke
 
J

Joerg Herche

Mitglied seit
09.09.2004
Beiträge
6
Dazu brauchst Du die GPOs. Du solltest Dich aber sehr genau über die möglichen Auswirkungen informieren.

Du brauchst auf jeden Fall erstmal eine Testumgebung.

Die Client-Administratoren müssen lokal auf den Clients in die Administratoren-Gruppe (in "Lokale Benutzer- und Gruppen). In der DomainController Policy kannst Du Ihnen die Rechte zum Anlegen von Benutzern etc. geben.
 
Gnoovy

Gnoovy

Mitglied seit
04.02.2002
Beiträge
2.178
Alter
36
hi leutz,


hier könnte man auch eventuell mit einem Taskpad arbeiten. Dazu generierst du sozusagen eine Oberfläche, auf der man nur speziell freigegebene Tätigkeiten ausüben darf. Beispielsweise Benutzer anlegen und löschen, OUs erstellen, etc. Glaube das war mit der rechten Maustaste auf deine Domäne in Active Directory Benutzer und Computer klicken und dort neue Taskpadansicht erstellen. Dort kannst du dann auch für das Taskpad ansich beispielsweise Ansicht, Bearbeiten, etc. ausblenden. Somit kann eigendlich nichts schiefgehen, dass sich irgendwelche Benutzer mehr Rechte verschaffen, als sie eigendlich dürften.



greetz
gnoovy
 
Thema:

Hilfsadministratoren

Oben