Unterschied Gruppen Administratoren/Domänen-Admins

[ginka]

Hallo!

Ich habe in einer 2003-Domäne die Erfahrung gemacht, dass anscheinend Mitglieder der Gruppe Administratoren das Gleiche dürfen wie Mitglieder der Domänen-Admins.

Aber es muss doch einen Unterschied geben.

z.B. darf ein Mitglied der Administratoren AD-Benutzerobjekte erstellen, ändern. Ich dachte, das ist nur den Domänen-Admins vorbehalten.

lg

[Hirgelzwift]

Ganz kurz: Domänen-Admins sind Mitglied der Gruppe Administratoren. Also sind Administratoren im Grunde sogar höher in der Hirachie als Domänen Admins.

[BuzzeR]

Schlicht und ergreifend falsch, oder einfach nur sehr seltsam ausgedrückt!

Mitglieder der Gruppe Administratoren sind nicht Mitglied in der globalen
Gruppe der Domänen-Adminis, außer man legt sie dort an.

Domänen-Administratoren können folgendes verwalten:

• Heimat-Domäne
• Alle Maschinen in dieser Domäne
• Und alle vertrauten Domänen der Heimat-Domäne!!!

Das können Mitglieder der Gruppe Administratoren nicht (letzter Punkt der Liste).

Des weiteren gibt es noch die Organisations- und die Schema-Admins.

LG
Marco

[IThome]

Die Gruppe Administratoren ist auf einem DC eine vordefinierte lokale Sicherheitsgruppe. Die Gruppe Administratoren existiert auch auf jedem Member oder Standalonerechner. Die Gruppe Domänen-Admins dagegen ist eine globale Sicherheitsgruppe.
Der Zweck einer lokalen Gruppe ist (so schlägt Microsoft es vor), dieser Gruppe Rechte und Berechtigungen zu erteilen. In den Sicherheitsrichtlinien kannst Du sehen, dass die standardmässigen Benutzerrechte z.B. nur lokalen und keinen globalen Gruppen gewährt werden. Globale Gruppen wiederum werden benutzt, um User zu ordnen, die einen gleichartigen Zugriff benötigen. Eine globale Gruppe an sich hat überhaupt keine Rechte, Rechte hat sie nur, da sie Mitglied einer lokalen Gruppe ist, von der sie erbt oder ihr werden besondere Zugriffsmöglichkeiten delegiert, entweder händisch oder standardmässig durch die Installation

[grizzly999]

Und alle vertrauten Domänen der Heimat-Domäne!!!

Nein, das können Domänen-Admins nicht. Domänen-Admins können nur und ausschliesslich Rechner in ihrer eigenen Domäne verwalten, weil sie standardmäßig in den lokalen Administratoren-Gruppen der einzelnen Rechner ihrer Domäne Mitglied sind.

grizzly999

[Hirgelzwift]

@BuZZeR: schau mal was ich geschrieben habe. Ich habe nie das gesagt was du mir unterstellt hast geschrieben zu haben. Meine Aussage ist definitiv richtig!

[IThome]

Im übrigen wird der lokalen Administratoren-Gruppe beim Joinen die globale Domänen-Admin Gruppe automatisch zugefügt, sonst könnte kein Domänenadmin eine lokale Maschine verwalten geschweige denn sich überhaupt dort anmelden. Das gleiche passiert mit den Benutzern und Domänenbenutzern, die globalen Gruppen an sich haben keine Rechte, also stimmt das, was Hirgelzwift sagt ...

[BuzzeR]

Dann haben wir uns jetzt alle mißverstanden. Macht ja nix.

Ich meinte mit meiner Ausführung, daß wenn ich Mitglieder aus der globalen
Sicherheitsgruppe der Domänen-Administratoren in die Domänen-lokalen
Administratoren Gruppe aufnehme, so können sie sehr wohl vertraute
Domänen administrieren und das kann ich mit den Mitgliedern aus Domänen-
lokalen Administratoren-Gruppen halt nicht machen.

Oder stehe ich heute auf der Leitung?

LG
Marco

[IThome]

Ja klar, domänenlokal geht eben nur in der eigenen Domäne, global geht, wie soll ich es beschreiben ... ?? global

[BuzzeR]

Na also, geht doch! Schwere Geburt.

LG
Marco