ginka 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Hallo! Ich habe in einer 2003-Domäne die Erfahrung gemacht, dass anscheinend Mitglieder der Gruppe Administratoren das Gleiche dürfen wie Mitglieder der Domänen-Admins. Aber es muss doch einen Unterschied geben. z.B. darf ein Mitglied der Administratoren AD-Benutzerobjekte erstellen, ändern. Ich dachte, das ist nur den Domänen-Admins vorbehalten. lg Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Ganz kurz: Domänen-Admins sind Mitglied der Gruppe Administratoren. Also sind Administratoren im Grunde sogar höher in der Hirachie als Domänen Admins. Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Schlicht und ergreifend falsch, oder einfach nur sehr seltsam ausgedrückt! ;) Mitglieder der Gruppe Administratoren sind nicht Mitglied in der globalen Gruppe der Domänen-Adminis, außer man legt sie dort an. Domänen-Administratoren können folgendes verwalten: Heimat-Domäne Alle Maschinen in dieser Domäne Und alle vertrauten Domänen der Heimat-Domäne!!! Das können Mitglieder der Gruppe Administratoren nicht (letzter Punkt der Liste). Des weiteren gibt es noch die Organisations- und die Schema-Admins. LG Marco Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Die Gruppe Administratoren ist auf einem DC eine vordefinierte lokale Sicherheitsgruppe. Die Gruppe Administratoren existiert auch auf jedem Member oder Standalonerechner. Die Gruppe Domänen-Admins dagegen ist eine globale Sicherheitsgruppe. Der Zweck einer lokalen Gruppe ist (so schlägt Microsoft es vor), dieser Gruppe Rechte und Berechtigungen zu erteilen. In den Sicherheitsrichtlinien kannst Du sehen, dass die standardmässigen Benutzerrechte z.B. nur lokalen und keinen globalen Gruppen gewährt werden. Globale Gruppen wiederum werden benutzt, um User zu ordnen, die einen gleichartigen Zugriff benötigen. Eine globale Gruppe an sich hat überhaupt keine Rechte, Rechte hat sie nur, da sie Mitglied einer lokalen Gruppe ist, von der sie erbt oder ihr werden besondere Zugriffsmöglichkeiten delegiert, entweder händisch oder standardmässig durch die Installation Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Und alle vertrauten Domänen der Heimat-Domäne!!! Nein, das können Domänen-Admins nicht. Domänen-Admins können nur und ausschliesslich Rechner in ihrer eigenen Domäne verwalten, weil sie standardmäßig in den lokalen Administratoren-Gruppen der einzelnen Rechner ihrer Domäne Mitglied sind. grizzly999 Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 @BuZZeR: schau mal was ich geschrieben habe. Ich habe nie das gesagt was du mir unterstellt hast geschrieben zu haben. Meine Aussage ist definitiv richtig! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Im übrigen wird der lokalen Administratoren-Gruppe beim Joinen die globale Domänen-Admin Gruppe automatisch zugefügt, sonst könnte kein Domänenadmin eine lokale Maschine verwalten geschweige denn sich überhaupt dort anmelden. Das gleiche passiert mit den Benutzern und Domänenbenutzern, die globalen Gruppen an sich haben keine Rechte, also stimmt das, was Hirgelzwift sagt ... Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Dann haben wir uns jetzt alle mißverstanden. Macht ja nix. :D ;) Ich meinte mit meiner Ausführung, daß wenn ich Mitglieder aus der globalen Sicherheitsgruppe der Domänen-Administratoren in die Domänen-lokalen Administratoren Gruppe aufnehme, so können sie sehr wohl vertraute Domänen administrieren und das kann ich mit den Mitgliedern aus Domänen- lokalen Administratoren-Gruppen halt nicht machen. Oder stehe ich heute auf der Leitung? LG Marco Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Ja klar, domänenlokal geht eben nur in der eigenen Domäne, global geht, wie soll ich es beschreiben ... ?? global :D Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Na also, geht doch! ;) Schwere Geburt. ;) LG Marco Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 ähm, kann ich da auch noch was sagen?? :D Es gibt da einen unterschied zwischen Domäne\Domain Admins und Built-in\administrators der Domäne. ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Und der wäre ... ? :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Built-In Administratoren der Domäne sind wie lokale Administratoren auf Mitgliedsrechnern, nur nicht auf dem einen DC, sondern auf allen DCs der Domäne. grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Eigentlich meinte ich das die Domain Admins mitglied der Gruppe Built-in Administrators sind. Nimm die da raus und die können nicht mehr viel.... ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 So ähnlich habe ich es auch geschrieben ... ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.