Jump to content

AD Fragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wenn ich diesen admin-user als Mitglied der lokalen Administratoren Gruppe und Domänen-Benutzer eintrage, funktionieren am Client nach dem erneuten Login trotzdem nicht die Admin-Rechte. zB. Server-Manager lässt sich nicht öffnen und sagt es fehlen die Administrator-Rechte. Ich kann natürlich als Admin ausführen und den Domänen-Administrator eintragen, aber macht das Sinn? Ist das was du meintest?

Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer.

Link zu diesem Kommentar

Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer.

 

Sorry für die späte Antwort, war auf unseren Firmenschulungen in Deutschland. Bin jetzt etwa schlauer wenn's um die Netzwerkkonfiguration und Troubleshooting geht ;-)

 

Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :)

Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut.

In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist.

Macht Sinn?

 

Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage:

Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist?

Link zu diesem Kommentar

Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :)

Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut.

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

 

 

In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist.

Macht Sinn?

 

 

Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

 

 

Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage:

Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist?

 

An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain.

Link zu diesem Kommentar

Danke, schaut wie ein toller Artikel für den Anfang. Werde ich lesen.

 

 

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

 

Ja schon. Deswegen habe ich OUs ;-)

 

 

Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

 

Ich brauche auch die Gruppen für die Nutzer, da ich so leichter die TS Zugriffe erlauben kann, ohne auf den TS gehen zu müssen. Link schaue ich mir an, sicherlich informativ!

 

 

 

 

An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain.

 

OOTB ist mir klar. Aber man kann einen Nutzer erstellen und ihm die Domänen-Admin Gruppe zuteilen. Und dann hat er absolut die gleichen Berechtigungen und Möglichkeiten wie der "Administrator". Deswegen für mich die Frage warum die Mühe überhaupt.

bearbeitet von kosta88
Link zu diesem Kommentar

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

 

Ja schon. Deswegen habe ich OUs ;-)

 

Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten.

Link zu diesem Kommentar

Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten.

Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon. In der Gruppenrichtlinienverwaltung kann ich ja die Gruppenrichtlinienobjekte auf die OUs verlinken.

Wenn ich dich jetzt richtig verstehe, will du mir sagen, dass hätte ich NUR die Gruppe in der OU, und die Benutzer woanders, würde sich die OU nicht auf diese Benutzer auswirken - OK, das hätte ich nicht gewusst, daher danke.

Ich werde das durchgehen sobald ich ein wenig Luft bekomme.

 

OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;)

 

Bye

Norbert

 

Wie schon gesagt, sind beide (Gruppe und Benutzer) drinnen, deswegen wirkt es ja. Habe ich schon geprüft.

bearbeitet von kosta88
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...