Jump to content

Admin anlegen welcher nur die Active Directory-Verwaltung öffnen kann


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Es geht dabei um eine Farm Terminalserver die alle in einer AD sind, aber für verschiedene Standorte dienen sollen. Jeder Standort soll seine User selbst verwalten können und dazu soll ein Standortadmin angelegt werden, der allerdings nur die User verwalten können soll die in der entsprechenden OU hinterlegt sind. Im Idealfall soll dieser Admin auch nicht mehr sehen, als nur seine OU für die er Admin ist. Ist es möglich, einen solchen User Anzulegen, der sich an einem AD-Server anmeldet und nur die AD-Verwaltung bedienen kann?

 

Gruß

 

Jürgen

Link zu diesem Kommentar

Ein Domänen-Benutzer kann auf einem Server Mitgliede r Sicherheitegruppe der lokalen Administratoren sein, damit kann er Programme installieren und Updates durchführen.

 

Ein TS ist i.d.R. kein DC, enthält also kein AD, ist aber selbst Member des AD.

 

Zum Verwalten von Benutzern im AD reicht ein Kontenoperator.

 

 

Man kann AD Rechte delegieren. .....

 

Delegation ist der englische Begriff, der deutsche ist ein anderer, fällt mir momentan nicht ein. Ich hab auch keinen Server in Reichweite.

 

Edit Vielleicht Benutzerverwaltung zuweisen oder so ähnlich.

 


..... könen die AD-Tools auf einem Terminalserver gefahrlos laufen? Ausser AD- und Terminalservern ist wohl nichts geplant.

 

Mir ist nicht klar, was AD-Tools auf einem TS sollen? AD gibt es auf DC, TS ist normalerweise kein DC, dehalb kein AD. ein TS ist ein Memberserver.

 

Oder ist das in diesem speziellen Fall anders?

 

Edit Oder sollen die AD-Tools in einer Terminalsitzung benutzt werden zum Administrieren?

bearbeitet von lefg
Link zu diesem Kommentar

Hi,

 

ein Unternehmen mit verschiedenen Standorten, wo der Standort-Admin im AD nur seinen Standort sehen soll? Oder geht es hier in Richtung "Mandanten-Active-Directory" und anstatt Standort wäre Kunde / Mandant der Begriff?

Generell kannst du Usern (bzw. besser Gruppen) den Zugriff bzw. das Auflisten verschiedener OUs verweigern und entsprechende Berechtigungen auf andere OUs delegieren (http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/ und http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/).

 

Ich würde dir von einem "Mandantefähigen-AD" pauschal abraten.

 

Updates (Für Windows / Software) würde ich zentral über einen WSUS mit WPP regeln bzw. je nachdem was da am Ende rumkommen soll, per Softwareverteilung entsprechend bereitstellen.

 

Gruß

Jan

Link zu diesem Kommentar

Moin,

 

Warum? Das funktioniert prima, mit oder ohne List Object Mode :)

 

naja, wenn wir auf einer so pauschalen Ebene sind, rate ich auch davon ab. :p

 

Man kann da eine Menge machen, aber man kommt schnell an eine Stelle, ab der es sehr aufwändig wird. Und man bewegt sich schnell aus einer vom Hersteller supporteten Konfiguration hinaus. Kommt dann noch Exchange ins Spiel, wird es sogar unbeherrschbar.

 

Aber vielleicht sollten wir, bevor wir solche Dinge überhaupt in den Raum werfen, dann doch noch mal über die Anforderungen sprechen ...

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...