Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
kosta88

AD Fragen

Empfohlene Beiträge

Wenn ich diesen admin-user als Mitglied der lokalen Administratoren Gruppe und Domänen-Benutzer eintrage, funktionieren am Client nach dem erneuten Login trotzdem nicht die Admin-Rechte. zB. Server-Manager lässt sich nicht öffnen und sagt es fehlen die Administrator-Rechte. Ich kann natürlich als Admin ausführen und den Domänen-Administrator eintragen, aber macht das Sinn? Ist das was du meintest?

Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wo trägst Du ihn in die Admin-Gruppe ein? Und vor allem, wo die Domänen Benutzer? Jeder Benutzer der im AD angelegt, wird ist automatisch ein Domänen Benutzer.

 

Sorry für die späte Antwort, war auf unseren Firmenschulungen in Deutschland. Bin jetzt etwa schlauer wenn's um die Netzwerkkonfiguration und Troubleshooting geht ;-)

 

Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :)

Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut.

In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist.

Macht Sinn?

 

Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage:

Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also, ich habe mir im AD zwei OUs erstellt, eine für den/die Admin(s) und eine für die Laptop-Benutzer, so dass ich hier leicht zwischen GPOs trennen kann, oder so ist mindestens der Plan :)

Dann in jeder OU ist eine Gruppe, jeweils für alle Nutzer drinnen - damit ich die Gruppe(n) zB. für Remote am TS freigeben kann. Soweit so gut.

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

 

 

In diesen Gruppen weise ich die Zugehörigkeit den jeweiligen Gruppen - Domänen-Administrator und Administratoren(lokal) bzw. Domänen-Benutzer und Benutzer(lokal). Auch entferne ich die Gruppe Domänen-Benutzer wenn es ein Admin ist.

Macht Sinn?

 

 

Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

 

 

Bin zwar noch am testen was alles geht und was nicht, aber grundsätzliche Frage:

Was kann ein Administrator-Konto am DC mehr als ein angelegter Benutzer-Konto der Mitglied der Gruppe Domänen-Admins ist?

 

An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke, schaut wie ein toller Artikel für den Anfang. Werde ich lesen.

 

 

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

 

Ja schon. Deswegen habe ich OUs ;-)

 

 

Wenn Gruppenzugehörigkeit, dann wirklich nur zu den Admins. Jeder, jeder Benutzer ist Domänen-Benutzer. Für lokale Admins würde ich es vermutlich eher so machen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

 

Ich brauche auch die Gruppen für die Nutzer, da ich so leichter die TS Zugriffe erlauben kann, ohne auf den TS gehen zu müssen. Link schaue ich mir an, sicherlich informativ!

 

 

 

 

An einem DC kann sich out-of-the-Box nur ein Domain Account anmelden, beantwortet das deine Frage? Und normalerweise gilt: Admin ist Admin ist Admin. Mit Ausnahmen bei den Admin-Gruppen in der Domain.

 

OOTB ist mir klar. Aber man kann einen Nutzer erstellen und ihm die Domänen-Admin Gruppe zuteilen. Und dann hat er absolut die gleichen Berechtigungen und Möglichkeiten wie der "Administrator". Deswegen für mich die Frage warum die Mühe überhaupt.

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du weißt schon, dass Gruppenrichtlinien nicht auf auf Gruppen, oder? ;)

 

Ja schon. Deswegen habe ich OUs ;-)

 

Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja schon. Deswegen habe ich OUs ;-)

OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;)

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ähm, ich habe den Verdacht dir ist das noch nicht ganz klar. GPOs, Gruppenrichtlinien greifen nur, wenn sie direkt auf Benutzer- oder Computerobjekte verlinkt sind. Auf Gruppen wirken sie *nicht*! Du kannst Gruppen nur zur Sicherheitsfilterung verwenden. Aber egal, du hast mit Gruppenrichtlinien.de und faq-o-matic.net schon zwei gute Anlaufstellen für GPOs und AD im allgemeinen bekommen. Lies dich dort mal in die verschiedenen Artikel ein und probier in einer Testumgebung einfach ein paar Dinge aus. Das hilft am meisten.

Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon. In der Gruppenrichtlinienverwaltung kann ich ja die Gruppenrichtlinienobjekte auf die OUs verlinken.

Wenn ich dich jetzt richtig verstehe, will du mir sagen, dass hätte ich NUR die Gruppe in der OU, und die Benutzer woanders, würde sich die OU nicht auf diese Benutzer auswirken - OK, das hätte ich nicht gewusst, daher danke.

Ich werde das durchgehen sobald ich ein wenig Luft bekomme.

 

OUs braucht man nicht zwingend für GPOs. ;) Ich denke Sunny meint, dass du in deine OUs dann schon Benutzerkonten oder Computerkonten stecken mußt, und nicht die Gruppe, in der die Benutzerkonten Mitglied sind. ;)

 

Bye

Norbert

 

Wie schon gesagt, sind beide (Gruppe und Benutzer) drinnen, deswegen wirkt es ja. Habe ich schon geprüft.

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielleicht habe ich mich etwa falsch ausgedrückt. Also, ich habe ne OU, in der OU sind die Benutzer, und gleich daneben eine Gruppe. Die GPO ist verlinkt auf die OU, nicht auf die Gruppe, das verstehe ich schon.

OK, und genau dieser Teil hat in den bisherigen Postings gefehlt, dann ist ja alles klar.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×