akkie 10 Geschrieben 29. September 2008 Melden Geschrieben 29. September 2008 Hallo, ich bräuchte eine Gruppe die auf einem Domänencontroller alles außer bestimmte nachträglich installierte Anwendungen ausführen darf, keinen Zugriff auf das AD hat und keine Berechtigungen für Verzeichnisse ändern darf. Wie würdet ihr das anstellen? Meine Vorgehensweise bis jetzt: Gruppe Service-Admins angelegt. Diese Gruppe ist Mitglied von - DHCP-Administratoren - DnsAdmins - Druck-Operatoren - Ereignisprotokollleser - Netzwerkonfigurations-Operatoren - Remotedesktopbenutzer - Replikations-Operator - Server-Operatoren - Systemmonitorbenutzer Das tut schon mal im groben das was ich möchte. Es gibt jetzt aber Programme wie den Servermanager auf den die Gruppe keine Berechtigungen hat. Kann ich das irgendwie einstellen? Oder gibt es vielleicht einen besseren Weg? Mfg Akkie
olc 18 Geschrieben 29. September 2008 Melden Geschrieben 29. September 2008 Hi, jeder, der sich an einem DC anmelden kann, hat potentiell auch irgend eine Möglichkeit, Daten der AD zu verändern oder grundsätzliche Änderungen am System vorzunehmen. Das ist also grundsätzlich ein Sicherheitsrisiko. Von daher ist im Normalfall eher davon abzuraten, außer Domänen-Administratoren auch noch andere Benutzer auf einem DC arbeiten zu lassen. Was genau ist denn der Hintergrund für Deine Frage? Was soll erreicht werden? Unter Umständen gibt es ja noch andere Wege zum Ziel. So wie ich das aus Deinen Gruppennamen sehe, kannst Du einige Aufgaben ggf. über Delegierungen auf den Diensten selbst und der Remote-Verwaltung mittels MMC erreichen. Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden