Hallo fLOST,
habe nun schon eine Weile rum probiert und im Board gestöbert, bin aber nicht so recht weiter gekommen:
Was ich möchte, ist folgendes:
Meine "rechte Hand", nennen wir ihn StandortAdmin, soll auf dem Server am Standort, welcher zur Firmendomäne gehört, Admin-Rechte ausüben, also User für diesen Standort anlegen,ändern, löschen sowie Verzeichnisse freigeben, löschen usw. Auf dem DC in der Zentrale soll er jedoch keine Benutzer ädnern können, Verzeichnisse jedoch darf er ändern.
Was habe ich gemacht?
1. Im AD der Domäne besteht eine OU "Standort2". Hierin sind alle User vor Ort, der Server am Standort 2 und natürlich auch der StandortAdmin enthalten.
2. Nun habe ich für diese OU ein neues Gruppenrichtlinienobjekt GPO "lokalAdminsGPO" erstellt, in dem der StandortAdmin enthalten ist.
3. Unter "Eigenschaften" dieses GPO habe ich unter Sicherheitseinstellungen dem StandortAdmin Vollzugriff gewährt.
Er kann nun zwar Verzeichnisse auf dem lokalen und dem Server in der Zentrale ändern, löschen usw, aber er kann keine User auf dem lokalen Server am Standort bearbeiten.
Irgendwo habe ich wohl noch einen Gedankenfehler drin - kannst Du mir hier auf die Sprünge helfen, vielleicht mit einem howto...bin newbie im Bereich AD, daher die vielleicht etwas ****en Fragen...
Vielen Dank für Deine Mühe!!!
Torsten