Active Directory - Nur noch Enterprise Admins sollen Domain Admins aufnehmen dürfen
Hallo Zusammen
Ich bin da was am Rumdoktern, wo ich nicht weiss, ob das überhaupt geht.
Meiin Kunde hat in einer (Child) Grossdomain (> 10 000 User) rund 60 Domain Admins. Aus Sicherheitsgründen möchte man, dass nur noch die zwei Enterprise Admins des Forests Mutationen in der Domain Admingruppe machen können (denn es wurde Usus, dass man den Kumpel rasch für ne Stunde in die DomainAdmin Gruppe pflümelt).
Ich dachte mit dem dsa/advanced features kann ich dem domain Admin nur noch lesen rechte auf sein eigenes Ad Objekt geben, was auch funktionierte bis der der erste Enterprise Admin einloggte. Dann waren die Security Settings alle wieder wie sie waren.
Delegate Permisisons kommt zur Zeit leider (noch!) nicht in Frage, da die gesamte Domain für awerness 2008 ab dem Juli ohnehin grosszügig umgebaut wird.
Ich kann mir auch vorstellen, dass mein Vorhaben auch nicht funktionieren kann.
