Harito 10 Posted September 1, 2008 Report Share Posted September 1, 2008 Hallo zusammen, ich benötige einen zweiten Zugang für einen weiteren Admin. Im Prinzip soll er Domänenadmin sein - jedoch darf er nicht auf die Ordner der Geschäftsführung zugreifen. Bin da leider überfragt, wie ich ihm dieses Recht nehmen soll, ohne dass er sich das selber wieder setzen kann!??! Kann man das irgendwie verbieten? Ich könnte auch die Ordner überwachen. Allerdings käme er ja erst mal rein. Hat jemand eine Idee? Gruss Harito Quote Link to comment
Stephan Betken 23 Posted September 1, 2008 Report Share Posted September 1, 2008 Entweder Dom-Admin oder nicht. Überwachung ist eine Möglichkeit (reinschauen=rausfliegen; das versteht jeder). Wenn es nur um bestimmte Aufgaben ginge, dann könnte man natürlich ein Account entsprechend berechtigen, aber wenn es wirklich Dom-Admin sein soll, dann sehe ich keine Möglichkeit. Quote Link to comment
Daim 12 Posted September 1, 2008 Report Share Posted September 1, 2008 Servus, Im Prinzip soll er Domänenadmin sein warum? Wenn du ein entsperchendes Rollenkonzept ausarbeitest, muss der Mitarbeiter kein Domänen-Admin sein. Was z.B. die AD-Aufgaben betrifft, kannst du die Objektdelegierung nutzen. Du musst eben erstmal klarstellen, was soll der Kollege alles ausführen können. Yusufs Directory Blog - Objektdelegierungen einrichten Yusufs Directory Blog - Der Objektdelegierungsassistent Kann man das irgendwie verbieten? Er darf kein Domänen-Admin sein, denn ansonsten kann er jederzeit in den Ordner schauen. Oder du nutzt Dritt-Anbiter um diese Verzeichnisse gesondert zu sichern. Quote Link to comment
Harito 10 Posted September 1, 2008 Author Report Share Posted September 1, 2008 Ich habe mal nachgefragt was er wirklich alles können muss.... Der neue Admin soll neue Konten und Emailpostfächer anlegen können. Ferner sollen die Gruppenzugehörgkeiten (bis auf GF!) verwaltet werden können sowie die Einwahlberechtigungen. Auch sollen die Sharepointberechtigungen bearbeitet werden können. Wie gesagt: der Admin darf auf keinen Fall die Ordner der GFs einsehen oder für diese die Berechtigungen ändern dürfen. Da könnte ich Delegierungen in der AD vornehmen. Aber kann er sich dann nicht ggf. auch höher stufen? Würde ein Kontenoperator da passen? Quote Link to comment
Daim 12 Posted September 1, 2008 Report Share Posted September 1, 2008 Da könnte ich Delegierungen in der AD vornehmen. Aber kann er sich dann nicht ggf. auch höher stufen? Kann er nicht. Würde ein Kontenoperator da passen? Ist zumindest nicht verkehrt. Mit der Delegierung kannst du eben gezielt auf eine OU die Berechtigungen vergeben. Die Mitglieder der Gruppe Konten-Operatoren können Domänen-Benutzer, Gruppen- und Computerkonten in der Domäne verwalten über alle Container hinweg. Den Mitgliedern ist jedoch nicht möglich, die Gruppen Administratoren oder Domänen-Admins, das Adminkonto oder die Computerkonten der DCs in der OU Domain Controllers zu bearbeiten. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.