Hallo zusammen,
wir haben in unserer Umgebung mehrere DCs stehen und in den einzelnen Standorten lokale Admins die angepasste Rechte haben um User und Computer über die dsa.msc zu editieren.
Wir würden gerne - aus fimenpolitischen Gründen - Einschränken, die MMC sich nur noch mit einem Server verbinden kann und dort User angelegt, Editiert etc. werden können.
Eine Arbeitsanweisung bringt leider nicht den gewünschten Erfolg. Daher mal hier die Frage an die Spezialisten, ob man das per Policy/Firewall-Regel etc. einschränken kann, dass die dsa.msc von einem Windows7 Client nur noch mit 1 dediziertem Server spricht und nicht mehr mit dem Logonserver.
Da die User in der Fläche nicht Domain Admins sind, sondern angepasste Rechte haben können diese sich nicht direkt am DC Anmelden und lokal die dsa.msc öffnen.
Ich hoffe mein Anliegen ist verständlich rübergekommen.
Grüße,
Pilba