UserAnon1

Thema aus meiner Sicht erledigt - danke an alle!

Hi zusammen, erstmal besten Dank an alle für die Unterstützung. Und auch danke für die gute Zusammenfassung - ich glaube ich habe jetzt eine gute Idee davon, was in der Microsoft-Welt möglich ist und was nicht. Eine kurze Frage noch zum Ende: Das Konzept mit den eingeschränkten Gruppen ist nicht schlecht. Bedeutet das aber nicht auch, dass ich zuvor eine separate GPO, wirksam für beispielsweise "Server-1234" , erstellen muss, damit "User A" oder "Usergruppe B" Mitglied der lokalen Administratorgruppe auf "Server-1234" per GPO wird? Ich kann die eingeschränkten Gruppen ja nicht in der Domain-GPO definieren - die würde User A ja auf allen Servern der Domäne berechtigen... Danke und Gruß!

Moin, es existiert zentral eine Gruppe für Server-Administratoren, welche auf jedem Member-Server in der "Lokale Administratoren"-Gruppe Mitglied ist. Wenn aber nun beispielsweise temporär für eine Wartung ein User auf genau einem Server administrative Rechte bekommen soll, wird derjenige als lokaler Admin auf genau diesem Server aufgenommen. Hier also eine Aufnahme eines AD-Accounts in eine lokale Gruppe. Oder gibt es für ein solches Szenario gute, alternative Best-Practice Ansätze? Gruß

Hi Nils, danke für die fixe Antwort! Hintergrund ist, dass die Administration der Server und das Doing der Berechtigungs- und Benutzerverwaltung organisatorisch getrennt sind. So soll die Benutzerverwaltung natürlich Benutzer auch lokal anlegen können, Gruppen pflegen usw.. Viel mehr aber eben auch nicht (bspw. Dienste stoppen, Logs löschen usw usw.). Hier soll eigentlich nach Möglichkeit das Need-to-know-Prinzip umgesetzt werden - sofern denn technisch umsetzbar - und dafür bräuchte man irgendwie eine Rolle, welche die administrativen Rechte eben auf das Administrieren von Benutzern und Gruppen lokal beschränkt. Schade dass MS da keine Lösung hat... Danke und Gruß

Hallo zusammen, mich beschäftigt gerade folgende Frage: Ist es möglich einem Kreis von Usern lokal auf Servern Rechte zu geben, um User und Gruppen anzulegen, zu löschen und abzuändern - ohne, dass sie gleich lokale Administratoren (also Volladministratoren) sind? Meine Recherchen haben bislang ergeben, dass eine solche Einstellung leider nicht über das User Rights Assignment in der secpol möglich ist - Microsoft bietet eine solche Vergabe der Rechte im Standard offensichtlich nicht an. Habt ihr Ideen wie man das bewerkstelligen könnte? Danke und Gruß