soul_fighter

Hallo Zusammen, mittlerweile konnte ich das von mir oben beschriebene Problem lösen. Lösung: Über Policy den entsprechenden Gruppen die richtige Berechtigung erteilen. In meinem Fall habe ich das über die Default DomainControllers Policy umgesetzt. Einstellungen: Computer Configuration/Policies/Windows Settings/Security Settings/System Services - DHCP Server | %Domain%\DHCP Administrators - DNS Server | %Domain%\DnsAdmins Permissions: read | start, stop, pause and continue Für die Verwaltung des DHCP - Dienstes über einen Remote Server und die MMC ist diese Einstellung ausreichend! Für die Verwaltung des DNS - Dienstes reicht diese Einstellung nicht, der Dienst kann nicht über die MMS gestoppt, gestartet usw. werden. ABER: über die CMD mit den Befehlen: sc \\%servername% start/stop/ etc. %Dienstname% Ich hoffe, diese (meine) Antwort auf diese (meine) Frage hilft Euch, falls Ihr vor der gleichen Problematik steht. Danke und Grüße Christof

Hallo Norbert, vielen Dank für Deinen Hinweis. Die Remoteverwaltung für den DHCP - Dienst habe ich über Group Policy hinbekommen. Bei DNS habe ich die Hinweise in Deinem Link (Gruppenrichtlinien.de) verfolgt und so wie beschrieben (dsget group -sid... / sc sdset DNS ...) ausgeführt - aber leider ohne Erfolg. Das bedeutet: DHCP - Dienst lässt sich von remote aus stoppen / starten etc. DNS - Dienst über remote - immer noch alles "ausgegraut". Funktioniert das Beispiel auch auf W2K8RII - Beschreibung zielt auf W2K3 ... Wo kann ich noch ansetzen? - Nochmals vielen Dank für Deine / Eure Rückinformationen ... Gruß Christof

Hallo Zusammen, nachdem ich unter "goolge" keine passende Antwort gefunden haben und auch hier im Forum keiner Lösung fündig wurde (vielleicht habe ich auch nicht richtig gesucht ...), hoffe ich, dass mir auf meine Anfrage geholfen werden kann. Wir stellen im Augenblick unser OpenLdap - Directory auf W2k8RII - AD um, gleichzeitig tauschen wir auch den DHCP- und DNS - Dienst. Diese laufen auf zwei DCs. Der Administrator für DHCP und DNS sollen über einen Member - Server die beiden Dienste verwalten (alle administrativen Aufgaben) können - also auch die Dienste über die MMC stoppen und starten können. Der User, der zur Verwendung dieser Tätigkeiten herangezogen werden soll, ist Mitglied der Gruppen "DNSAdmins" und "DHCP Administrators" und soll nicht über administrative Berechtigungen auf den DCs verfügen! Dieser User ist aber nicht in der Lage die Dienste über die MMC (DHCP/DNS verbunden auf z.B. DC1) auf dem Member-Server zu stoppen und wieder zu starten ("alle Tasks/grau hinterlegt: stoppen, starten, restart, pause" usw.) Was fehlt dem User bzw. was kann ich noch einstellen, damit der User auch die Dienste verwalten kann? Vielen Dank für Eure Mühe und Rückantwort ... Gruß Christof

Hallo Carlito, hallo olc, vielen Dank für Eure Antworten. Die helfen auf jeden Fall weiter. Ich konnte mir auch nicht vorstellen, dass es nicht irgendeinen Weg gibt, das Erstellen von Richtlinien zu delegieren, aber es auch so einzuschränken, das keine bereits erstellten Richtlinien von anderen Admins verändert werden können, usw. Jetzt kann ich |tschuldigung für den Ausdruck| "Kluck********n gehen". Meine Leidensgenossen (Admins anderer OUs) werden froh sein, wenn wir unseren Dienstleister endlich auf Linie bringen ... Vielen Dank nochmal !!! Tschö CH

Hallo Carlito, vielen Dank für Deine Antwort. wenn ich die Info im Link richtig verstanden habe, gehts dabei um die Delegierung von Berechtigungen auf bestehende Richtlinien. Mein Problem ist etwas anders gelagert. Ich darf in meiner OU (besser im gesamten AD) keine Richtlinien erstellen, und möchte den Dienstleister - Admins beibringen, wie sie an mich (nur in meiner OU) die Erstellung und Verwaltung von Richtlinien deligieren können. Geht das überhaupt? Grüße und Danke CH

Hallo Zusammen, ich bin ein Board - Neuling und hoffe, das meine Frage in diesem Forum richtig plaziert ist. Ich bin Administrator einer OU in einer sehr großen AD - Struktur eines noch größeren Versandhandels. Bei meiner täglichen Arbeit habe ich folgendes Problem: Wir "Teiladministatratoren" dürfen keine eigenen GPOs erstellen. Gibt es eine Möglichkeit, die Erstellung und Verwaltung von Richtlinien auf OU - Ebene zu delegieren? Bis her müssen wir immer aufwendig beschreiben, wie die Richtlinie auszusehen hat, diese Beschreibung anschließend an den "Dienstleister" senden und hoffen, dass die Richtlinie erstellt und verknüpft wird. Für alle Antworten bedanke ich mich bereits im Voraus, Grüße aus dem südlichen Teil der Republik. --NACHTRAG--: Dies ist meine erste Frage im Board, und da hab ich mich doch gleich im Forum verhaut. Wäre wohl besser in einem anderen Bereich aufgehoben. Vielleicht kann ja ein Admin helfen ;) -- Noch mal Danke und Grüße