Frage wegen Berechtigungen in 2003er Domäne

[Maxxine 10]

Hallo,

 

eine Frage - welcher Gruppe muß ein User in einer 2003-Domäne angehören um die LMhosts, Wins, Dns und Netzwerkeinträge ändern zu können - muß das ein Domänenadmin sein oder tut es was anderes auch??

Mich beschäftigt außerdem: was genau unterscheidet den Dömenadmin vom Administrator (welche Rechte)?

 

Danke und lieben Gruß

Maxxine

[blub 115]

Hi,

Wins- (dynamisch) und DDNS-Einträge können defaultmässig alle "authenticated Users" bzw. "domain computers" verändern.

Für die lmhosts gelten lokale Rechte

 

cu

blub

[Maxxine 10]

Danke sehr!!! (ist eigentlich WINS statisch aber das ist ja wohl egal) :cool:

 

LG Maxxine

[Hacko 10]

naja, dem DOM-Admin darf so nette Sachen wie Schema-Änderungen, neue Domänen in den Forest intefrieren, InterForestTrust - der Admin ist auf die lokale Maschine beschränkt

[grizzly999 11]

Original geschrieben von Hacko

naja, dem DOM-Admin darf so nette Sachen wie Schema-Änderungen, neue Domänen in den Forest intefrieren, InterForestTrust - der Admin ist auf die lokale Maschine beschränkt

Sorry für meine Intervention, aber das darf der Domänenadmin nicht. Schenmaänderungen dürfen nur Schema-Admins, Änderungen auf Forest-Level (DHCP authorisieren, Domänen hinzufügen usw.) nur Organisations-Admins.

Es scheint in einem 1-Domänenmodell so, als hätten die Domänen-Admins diese Rechte, weil viele da mit DEM Domänen-Admin arbeiten, dem Konto, das von Anfang an da ist. Dieses Konto ist by default automatisch Mitglied der eben genannten Gruppen, und darf es deshalb. Nimm das Konto da raus, lasss es aber in den Domänen-Admins, und er darf solche Sachen nicht mehr.

Überhaupt haben die Domänen-Admins als Gruppe sehr wenig Rechte, hauptsächlich haben sie diese im ADS der jeweiligen Domäne. Die Rechte und sind meist für die lokalen Administtoren-Gruppen gegeben, in diesen sind standardmäßig aber auf allen Rechnern, die zur Domäne gehören, die Domänen-Admins MItglied. Nur daher haben sie "so viele" Rechte

 

 

grizzly999

[Hacko 10]

Sorry für meine Intervention, aber das darf der Domänenadmin nicht. Schenmaänderungen dürfen nur Schema-Admins, Änderungen auf Forest-Level (DHCP authorisieren, Domänen hinzufügen usw.) nur Organisations-Admins.

Es scheint in einem 1-Domänenmodell so, als hätten die Domänen-Admins diese Rechte, weil viele da mit DEM Domänen-Admin arbeiten, dem Konto, das von Anfang an da ist. Dieses Konto ist by default automatisch Mitglied der eben genannten Gruppen, und darf es deshalb. Nimm das Konto da raus, lasss es aber in den Domänen-Admins, und er darf solche Sachen nicht mehr.

Überhaupt haben die Domänen-Admins als Gruppe sehr wenig Rechte, hauptsächlich auf haben sie diese im ADS der jeweiligen Domäne. Die Rechte und sind meist für die lokalen Administtoren-Gruppen gegeben, in diesen sind standardmäßig aber auf allen Rechnern, die zur Domäne gehören, die Domänen-Admins MItglied. Nur daher haben sie "so viele" Rechte

 

tja, Grizzly, wie Recht du mal wieder hast - hab wohl mal wieder zu schnell gedacht - ich hab an den Standard "Administrator" gedacht, der eben Mitglied der oben genannten Gruppen ist. Mein Fehler. War wohl noch etwas früh ;-)

[Maxxine 10]

Dankeschön für die ausführliche Auskunft - habe jetzt aber noch ein Problem, ich muß dem Helpdesk Zugang auf den DC geben (Backup, Installationen, etc.) - da ich Angst habe daß irgendwer im AD "herumpfuscht" möchte ich das möglichst einschränken - was wäre sozusagen das Minimum??

 

 

LG Maxxine

[grizzly999 11]

Für ein Backup/Restore reicht die Mitgliedschaft ind en Sicherungs-Operatoren. Für Installationen reicht u.U. die Mitgliedschaft in den Serveroperatoren, da komm t es aber auf die Software an. Es könnte sein, dass dier User auch die Mitgliedschaft in der BuiltIn Group der Administratoren benötigt. Ist empirisch zu ermitteln.

 

grizzly999