Marco31 37 Geschrieben 12. Juni 2015 Melden Geschrieben 12. Juni 2015 Hallo liebes Forum, bei uns ist es leider noch so, dass die Administration der Server unter dem Konto des Domänen-Admins ausgeführt wird. Diesem Problem wollte ich mich jetzt mal widmen mit folgender Vorgehensweise: - Anlegen einer Globalen Sicherheitsgruppe "lokale Admins" im AD - Anlegen von Admin-Benutzern - Hinzufügen der Admin-Benutzer zu der globalen Gruppe "lokale Admins" - Hinzufügen der globalen Gruppe "Lokale Admins" auf den Servern zur lokalen Gruppe "Administratoren" - Hinzufügen der globalen Gruppe "Lokale Admins" auf dem Server in der Remotedesktop-Konfiguration zum Remotezugriff Jetzt sollten ja eigentlich die Mitglieder der Gruppe "Lokale Admins" volle Admin-Rechte auf den Servern haben.... Aber leider haben sie das (anscheinend) nicht. Wenn ich mit dem angelegten Admin-User einlogge, habe ich z.B. auf Ordnern, die mit Vollzugriff für "Server\Administratoren" konfiguriert sind, keine Zugriffsrechte, kann diese aber im dann auftauchenden Fenster mit "Fortsetzen" erstellen lassen. Das ist aber natürlich nicht das was ich will, es sollen ja die Zugriffsrechte über die Gruppenmitgliedschaft ziehen.... Habe ich da einen Denkfehler drin? Bin leider auch nach längerem suchen nicht schlauer geworden, vielleicht weiß hier jemand spontan Rat...
NorbertFe 2.283 Geschrieben 12. Juni 2015 Melden Geschrieben 12. Juni 2015 Du weißt wie UAC funktioniert? ;) Dann such mal danach und du wirst sicher dein Problem lösen. http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/
Marco31 37 Geschrieben 12. Juni 2015 Autor Melden Geschrieben 12. Juni 2015 Oh Mann, da wäre ich tatsächlich nie drauf gekommen... Kommt davon wenn man den Domänen-Admin missbraucht... Peinlich... Also müsste ich entweder in den lokalen Sicherheitsrichtlinien die Administratorbestätigung deaktivieren oder die UAC komplett deaktivieren? Wie wird das bei euch gehandhabt?
daabm 1.431 Geschrieben 14. Juni 2015 Melden Geschrieben 14. Juni 2015 Gehandhabt wird das bei uns so: Builtin Administratoren werden nicht zur Administration von Share- und NTFS-Berechtigungen verwendet. Dafür gibt's ne eigene Gruppe, und dann ist UAC kein Problem mehr und kann auf höchster Stufe an bleiben.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden