Harito 10 Geschrieben 1. September 2008 Melden Geschrieben 1. September 2008 Hallo zusammen, ich benötige einen zweiten Zugang für einen weiteren Admin. Im Prinzip soll er Domänenadmin sein - jedoch darf er nicht auf die Ordner der Geschäftsführung zugreifen. Bin da leider überfragt, wie ich ihm dieses Recht nehmen soll, ohne dass er sich das selber wieder setzen kann!??! Kann man das irgendwie verbieten? Ich könnte auch die Ordner überwachen. Allerdings käme er ja erst mal rein. Hat jemand eine Idee? Gruss Harito
Stephan Betken 43 Geschrieben 1. September 2008 Melden Geschrieben 1. September 2008 Entweder Dom-Admin oder nicht. Überwachung ist eine Möglichkeit (reinschauen=rausfliegen; das versteht jeder). Wenn es nur um bestimmte Aufgaben ginge, dann könnte man natürlich ein Account entsprechend berechtigen, aber wenn es wirklich Dom-Admin sein soll, dann sehe ich keine Möglichkeit.
Daim 12 Geschrieben 1. September 2008 Melden Geschrieben 1. September 2008 Servus, Im Prinzip soll er Domänenadmin sein warum? Wenn du ein entsperchendes Rollenkonzept ausarbeitest, muss der Mitarbeiter kein Domänen-Admin sein. Was z.B. die AD-Aufgaben betrifft, kannst du die Objektdelegierung nutzen. Du musst eben erstmal klarstellen, was soll der Kollege alles ausführen können. Yusufs Directory Blog - Objektdelegierungen einrichten Yusufs Directory Blog - Der Objektdelegierungsassistent Kann man das irgendwie verbieten? Er darf kein Domänen-Admin sein, denn ansonsten kann er jederzeit in den Ordner schauen. Oder du nutzt Dritt-Anbiter um diese Verzeichnisse gesondert zu sichern.
Harito 10 Geschrieben 1. September 2008 Autor Melden Geschrieben 1. September 2008 Ich habe mal nachgefragt was er wirklich alles können muss.... Der neue Admin soll neue Konten und Emailpostfächer anlegen können. Ferner sollen die Gruppenzugehörgkeiten (bis auf GF!) verwaltet werden können sowie die Einwahlberechtigungen. Auch sollen die Sharepointberechtigungen bearbeitet werden können. Wie gesagt: der Admin darf auf keinen Fall die Ordner der GFs einsehen oder für diese die Berechtigungen ändern dürfen. Da könnte ich Delegierungen in der AD vornehmen. Aber kann er sich dann nicht ggf. auch höher stufen? Würde ein Kontenoperator da passen?
Daim 12 Geschrieben 1. September 2008 Melden Geschrieben 1. September 2008 Da könnte ich Delegierungen in der AD vornehmen. Aber kann er sich dann nicht ggf. auch höher stufen? Kann er nicht. Würde ein Kontenoperator da passen? Ist zumindest nicht verkehrt. Mit der Delegierung kannst du eben gezielt auf eine OU die Berechtigungen vergeben. Die Mitglieder der Gruppe Konten-Operatoren können Domänen-Benutzer, Gruppen- und Computerkonten in der Domäne verwalten über alle Container hinweg. Den Mitgliedern ist jedoch nicht möglich, die Gruppen Administratoren oder Domänen-Admins, das Adminkonto oder die Computerkonten der DCs in der OU Domain Controllers zu bearbeiten.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden