SteGab 10 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Hallo zusammen, wir haben in der Firma ca. 40 Clients. Zu meiner Unterstützung soll ich nun einem Mitarbeiter einen Teil meiner IT Tätigkeiten abgeben. Da der Kollege bisher mit IT nur sehr begrenzt zu tun hatte, möchte ich diesem eigentlich erstmal nur Zugriff auf alle Clients geben, aber nicht auf die Server. Gibt es eine Gruppe (lokaler Admin möchte ich nicht nutzen) die nur Administrativen Zugriff auf alle Domain-Clients hat aber keinen Zugriff auf die Server. Ich möchte nur ungern alle Clients anfassen... Grüße und Danke
Timsk 11 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Hi, wenn Ihr ein Active Directory habt kannst du das doch per GPO realisieren, ansonsten wird es schwer werden wenn du die lokale Admin Gruppe meiden möchtest, die ist nämlich dafür da! Viele Grüße!
Sunny61 833 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Du kannst ihr per GPO in den Gruppe der Lokalen Admins verfrachten, bei der Sicherheitsfilterung der Gruppe trägst Du nur die Domain-Clients ein, die Server bleiben aussen vor. Aber Achtung! Admin ist Admin ist Admin.
nawas 32 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Erstell doch einfach eine neue Gruppe für Ihn. Dann kannst du dies auch nach und nach von den Berechtigungen erweiteren.
SteGab 10 Geschrieben 25. April 2013 Autor Melden Geschrieben 25. April 2013 Danke für die Antworten! @nawas: Eine neue Grupe zu erstellen würde vermutlich heißen, dass man diese aber wieder auf allen clients anlegen muss, gemau so wie wenn ich ihn in die Gruppe der lokalen Admins lege oder? Dann muss ich jeden Client anfassen... @Sunny61: Das wird vermutlich mein Weg werden, ich lege Ihn per GPO in die Gruppde der Admins und erlaube diese GPO nur von Clients übernommen zu werden. Das muss ich mir mal genauer ansehen. @Timsk: Die Gruppe der lokalen Administratoren wäre schon ok, aber dann muss ich das ja entweder über eine mmc auf alle clients gehen oder gibts da nen anderen weg? Sonst denke ich wird der Weg über die GPO einfacher sein...
lefg 276 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 (bearbeitet) @Timsk: Die Gruppe der lokalen Administratoren wäre schon ok, aber dann muss ich das ja entweder über eine mmc auf alle clients gehen oder gibts da nen anderen weg? Sonst denke ich wird der Weg über die GPO einfacher sein... Hallo, mit der GPO Eingeschränkte Gruppen kann das Konto des Kollegen der Gruppe der lokalen Administrator auf den Clients hinzugefügt werden. bearbeitet 25. April 2013 von lefg
SteGab 10 Geschrieben 25. April 2013 Autor Melden Geschrieben 25. April 2013 Genau, es wird wohl auf die GPO hinauslaufen... Danke euch allen :-)
NorbertFe 2.279 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Genau, es wird wohl auf die GPO hinauslaufen... Ja was denn sonst? Bye Norbert @Sunny61: Das wird vermutlich mein Weg werden, ich lege Ihn per GPO in die Gruppde der Admins und erlaube diese GPO nur von Clients übernommen zu werden. Das muss ich mir mal genauer ansehen. Anstatt da was zu erlauben, solltest du deine OU Struktur so bauen, dass du das GPO nur an die OU bindest, in der sich die PCs befinden. ;) @Timsk: Die Gruppe der lokalen Administratoren wäre schon ok, aber dann muss ich das ja entweder über eine mmc auf alle clients gehen oder gibts da nen anderen weg? Sonst denke ich wird der Weg über die GPO einfacher sein... Natürlich gibt's nur den einfachen Weg über die GPOs. Entweder eingeschränkte Gruppen oder GPPs. Ich versteh nicht, was du sonst noch brauchst. Bye Norbert
lefg 276 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Genau, es wird wohl auf die GPO hinauslaufen... Falls dir GPP möglich, dann schaue es dir an!; mir erscheint es per GPP besser, einfacher handhabbar als per GPO.
Sunny61 833 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Anstatt da was zu erlauben, solltest du deine OU Struktur so bauen, dass du das GPO nur an die OU bindest, in der sich die PCs befinden. ;) Wenn er den Benutzer nur vereinzelte PCs administrieren lassen will, und ansonsten aber ihn nicht als Admin eingetragen haben möchte, dann würde ich das mit der Gruppe den OUs vorziehen. ;)
blub 115 Geschrieben 25. April 2013 Melden Geschrieben 25. April 2013 Hallo, Das hört sich so an, als ob du mit einer DomainAdminkennung eure Userclients/ Server und DCs administrierst. Das wäre securitytechnisch ein ganz schlechtes Konzept, da kannst du fast dein Adminpasswort auf ein PostIt schreiben und an den Bildschirm des Clients kleben. Getrennte Accounts für Clients und Server/DCs solltest du daher nicht nur deiner Aushilfe geben, sondern auch dir selbst. blub
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden