Hilfadmin MS Server2008 R2

[SRS]

Guten Tag zusammen,

ich hoffe ihr könnt mir weiter helfen:

Umgebung:

- Server2008 R2 also Domäncontroller + AD
- 2x XP Pro Clients
--> User: 2 Benutzer (Test1/Test2), Hilfadmin


Folgendes Problemstellung:

Es soll einen Hilfadmin erstellt werden der nur Kennwörter zurücksetzten darf bzw. ändern.

Er soll sich aber weder an Client bzw. Server anmelden dürfen.

Man soll später also mit dem Benutzer Test1 an einem Client angemeldet sein und dann mit Hilfe des Hilfadmins das Kennwort des Test2 ändern können.

Ich hoffe ihr könnt mir weiter helfen.


MFG SRS

[lefg]

Ich meine, Hilfsadmin ist ein falscher Begriff, denn ein Admin ist ein Admin ist ein Admin.

Sehr wahrscheinlich wird es auch bei 2k8 - wie bei 2k3 - die Möglichkeit der Delegation - von Aufgaben - geben; ich meine, Aufgaben eines Benutzers sind etwas anderes als Rechte eines Administrators.

[Sunny61]

Hier ist das beschrieben: Objektverwaltung zuweisen - Delegation von Aufgaben

[Daim]

Salve,

wie die Kollegen es bereits korrekt genannt haben, suchst du die Objektdelegierung.
Diese kann man entweder über die GUI oder in der Kommandozeile durchführen. Der Vorteil an der Kommandozeile ist, das einfache Handling und die Dokumentation. Der Befehl den du benötigst lautet:

Dsacls "OU=OU-Name,DC=intra,DC=Domäne,DC=TLD" /I:S /G <Domäne>\<Gruppe>:CA;Reset Password;User.

LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten

[SRS]

Hallo
Das mit der Objektverwaltung hab ich schon, mein Problem ist das der Co-Admin sich an keinen Computer anmelden darf, also weder Client noch Server.

Zur Zeit hab ich einen "Hilfsadmin" der einen angepasste MMC auf einem Netzlaufwerk hat, die von jedem Benutzer aus zu erreichen ist aber nur der Hilfadmin ausführen darf.

[Daim]

Zitat von SRS Zur Zeit hab ich einen "Hilfsadmin" der einen angepasste MMC auf einem Netzlaufwerk hat, die von jedem Benutzer aus zu erreichen ist aber nur der Hilfadmin ausführen darf.

Dann solltest du trotzdem ein Benutzerkonto erstellen und in den Benutzereigenschaften definieren, dass er sich nur an einem bestimmten Client anmelden darf. Das er sich an einen anderen Rechner setzt wo gerade jemand anderes angemeldet ist, ist nicht ok.

[SRS]

Leider ist das Vorraussetzung das sich dieser Hilfsadmin an keinem PC anmelden darf und nur bei einem Angemeldeten Client mit "ausführen als" Hilfsadmin Kennwörter reseten kann.

Wie bzw. Wo kann ich einstellen das sich ein Benutzer an keinem PC anmelden kann?