Jump to content

User Rechte in OU-Gruppenrichtlinie

dossi84

Von dossi84
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

gysinma1 Veteran

gysinma1   13

Geschrieben
Geschrieben

Hallo

 

Da gibt es zwei Möglichkeiten. Eine kompliziertere über Gruppenrichtlinien oder mit Delegate Control in der AD.

 

Wichtig erscheint mir, dass eine DomainGlobalGroup als berechtigt definiert wird und nicht einzelne Benutzer. Denn dann kannst Du die entsprechenden Leutchen nur noch in diese Gruppe aufnehmen.

 

Variante1:

Du machst pro OU eine DomainGlobalGroup.

Im gpedit.msc der OU gehtst Du hin, dass in allen Compis die obige GlobalGroup als LocalAdmins eingetragen werden. Damit hast Du Adminrechte bei den PCs jedoch nicht innerhalb der Domain.

 

Variante2:

Du verwendest delegate Control in der AD und gibt der DomainGlobalGroup das Recht innerhalb der OU Administrativ zu "wüten". Die Benutzer können die OU Administrieren haben aber keine Rechte auf der Clientseite (es seiu denn es seien domainadmins).

 

Vermutlich, denke ich mal, wirst Du beides machen müssen...

 

Weil nur der DomainAdmin bei dem Joining Vorgang als LocalAdmin hinzugefügt wird, ändert das DelegateControl nix auf der Clientseite. Wichtig erscheint mir noch, dass dies alles nur mit Win2000/XP/2003 geht.

 

 

Gruss,

 

Matthias

Link zu diesem Kommentar
gysinma1 Veteran

gysinma1   13

Geschrieben
Geschrieben

Hallo

 

Original geschrieben von dossi84

 

 

Wenn ich ehrlich bin, hab ich es noch nicht so recht verstanden.

Gibt es das auch in einer (für mich) etwas verständlicheren Version?

 

Was willst Du genau machen ? Andere Leute als lokale Administratoren, dass diese SW installieren dürfen (z.Bsp.) oder andere Leute, die z.Bsp. Passwörter in der Domain entlocken können ...

 

 

Gruss,

 

Matthias

Link zu diesem Kommentar
kobalt Rising Star

kobalt   10

Geschrieben
Geschrieben

Hallo dossi84,

 

wenn Du nach MS Richtlinie vorgehen willst (nicht zwingend nötig ;) ) machst Du folgendes:

 

- Erstelle eine globale Gruppe (z.B. "G LokaleAdmins"). In welcher OU ist egal

- Füge alle Benutzerkonten, die Admins sein sollen, als Mitglieder zur Gruppe hinzu

- Erstelle eine domänenlokale Gruppe (z.B. "DL LokaleAdminrechte"), auch wieder egal wo

- Füge der DL-Gruppe die globale Gruppe als Mitglied hinzu

- Füge auf den einzelnen Rechnern die DL-Gruppe der Gruppe der Administratoren hinzu

 

Die Vorgehensweise entspricht dem "AGDLP"-Prinzip von MS. Wenn Du nur eine Domäne hast, kannst Du auf die DL-Gruppe natürlich auch verzichten und gleich die globale Gruppe in die Gruppe der (lokalen) Admininstratoren aufnehmen.

 

Im gpedit.msc der OU gehtst Du hin, dass in allen Compis die obige GlobalGroup als LocalAdmins eingetragen werden.

Diese Möglichkeit kenne ich leider nicht. Wie lautet denn der Pfad zu dieser Richtlinie?

 

Gruß kobalt

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...