Jump to content
Sign in to follow this  
Mustermann

SRV 2003 untergeordnete Admins

Recommended Posts

Guten Tag,

 

ich möchte bei mir auf dem Server untergeordnete Administratoren einrichten. Ich habe eine Domäne (testfirma.local und zwei Standorte zum testen eingerichtet (Köln und Berlin). Ich möchte nun einen untergeordneten Administrator der alles in Köln darf, jedoch keine rechte in Berlin hat und dasselbe umgekehrt mit Berlin und Köln.

Zum testen hab ich auch eine OU namens TEST1 mit dem Benutzen adminfake1 in Köln eingerichtet und für Berlin eine OU namens TEST2 mit dem Benutzer adminfake2 eingerichtet. Jedoch komme ich so nicht mehr weiter und weis nicht wie ich die Gruppenrechtlinien einstellen muss

Der DC befindet sich in Köln, der Server in Berlin.

 

Ich bedanke mich bei Ihnen im Voraus.

Share this post


Link to post

Hallo und Willkommen im Board :)

 

ich verschiebe den mal nach Windows-Allgemein, hat ja nichts mit MCSE zu tun.

 

Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC?

 

 

grizzly999

Share this post


Link to post

Ja beide SRV sind DC, was ich vergessen hab zu erwähnen ist, dass eines der Server ein SBS ist.

 

Es tut mir leid das der post an der falschen stelle war.

 

Vielen dank

Share this post


Link to post

Dann wird das wohl nichts. Du kannst über Benutzerrechte und Berechtigungen Gruppen für bestimmte Ressourcen (z.B. Server-Operatoren oder Druck-Operatoren) vergeben, aber einen "eingeschränkten" Admin gibt es da nicht.

 

 

grizzly999

Share this post


Link to post

ich habe mir jez im Buch Windows Server 2003 Von Mark Bla bla (will jez keine werbung machen) folgendes gelesen:

 

-Einrichtung einer Domäne namens navy.mil

 

-Innerhalb der navy.mil wird eine OU namens Norfolk-Admins und eine weitere namens San Diego-Admins angelegt. Benutzerkonten werden angelegt und die Administrator in die richtige Gruppe gestellt, je nachdem ob sie in San Diego oder Norfolk sitzen.

 

-Zum Schluß erhält die Gruppe der San Diego Admins die komplette Kontrolle über die San Diego-OU und die Norfolk-Admins-Gruppe die komplette über die Norfolk-OU.

 

So genau will ich es auch bei mir mit meinem zwei servern erstellen, ich selber glaube jedoch nicht das es, dass szenario beeinträchtigt, wenn ich zwei DC habe oder wenn es sich bei einem der SRV um einen SBS handelt.

Sicher bin ich mir jedoch nicht.

 

Vielen Dank für deine Hilfe

Share this post


Link to post

Das geht schon so, dann kann derAdmin in "norfolk2 (oder was auch immer) in der OU alles tun, Benutzer anlegen und verwalten, Gruppen anlegen und verwalten, Computerkonten ......, Richtlinienverknüpfungen vornehmen (Keine Richtlinien erstellen!).

 

Aber du hast oben geschrieben:

Ich möchte nun einen untergeordneten Administrator der alles in Köln darf, jedoch keine rechte in Berlin hat

es ist eben die Fragen wie genau du den Terminus "alles darf" definiertst. Wenn darunter nur die Verwaltung der OAD-bjekte der OU Köln fällt, ok. Mehr leistet das von dir zitierte Vorgehen nicht. Ich persönlich habe unter "alles" noch etwas mehr verstanden.

 

grizzly999

Share this post


Link to post

@grizzly999

 

Zitat:

 

grizzly999: Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC?

Mustermann: Ja beide SRV sind DC, was ich vergessen hab zu erwähnen ist, dass eines der Server ein SBS ist.

grizzly999: Dann wird das wohl nichts.

 

Dem entnehme ich, dass es anders schon was geben könnte? Macht es einen Unterschied, ob der andere Mitgliedsserver ist oder auch DC?

 

Gibt es denn keine Möglichkeit zwei Standorte/ Domänen (oder was auch immer...) zu haben um damit das gewünschte Verhalten zu erreichen -

 

Sprich: Admins für Standort A die an Standort A die komplette Verwaltung inne haben aber eben nix in Standort B dürfen und umgekehrt?

 

Grüße

 

Nick

Share this post


Link to post

Wir hängen da immer noch an dem Wort "Alles".

Verstehst du unter "Alles" wirklich alles, von der Benutzerverwaltung im AD über DHCP einrichten und authorisieren, weiter bei Standorten im AD einrichten bis hin zur Treiberinstallation und Plattenformartierung, etc. pp. ?!

Und der eine soll das können für sienen Standort und der andere dort gar nichts (und umgekehrt). Oder gibt es eine zentrale IT, die da drüber steht?

oder wie sieht das denn aus?

 

Ich kann dir nichts weiter sagen. Um etwas zu sagen, was geht und was nicht, braucht man Inforamtionen, Informationen und Informationen. Saubere, konkrete Anforderungen gehören selbstverständlich auch dazu. Im Nebel stochere ich nicht herum. :wink2:

 

 

grizzly999

Share this post


Link to post

Hallo grizzly999,

 

ich will mal versuchen die Anforderung zu definieren:

 

1. Es gibt eine Domäne mit zwei oder mehr Standorten.

2. An Standort A gibt es einen SBS 2003

3. An Standort B gibt es einen Standard 2003er der auch als DC eingerichtet wird.

4. Die Standorte sind per VPN miteinander verbunden (spielt eine untergeordnete Rolle, nur der Vollständigkeitshalber)

5. An jedem Standort gibt es jeweils x Windows XP Clients

 

6. Es existiert natürlich ein übergeordneter Admin (wie sollten sonst auch die Standorte eingerichtet werden)

7. An Standort A soll es einen Admin geben der "Alles" darf an Standort A und "Nix" an Standort B. Der Admin an Standort B darf "Alles" an Standort B und (muss aber nicht) "Alles" an Standort A.

 

So, nun hab ich begriffen, dass dieses "Alles" so nicht geht. Für uns entscheidend wäre jetzt zu wissen wie nah wir an dieses "Alles" rankommen.

 

Es wäre zwingend erforderlich, dass der Admin A am Standort A folgendes kann:

- Benutzer verwalten (AD, Exchange, etc.)

- im Idealfall auch Gruppenrichtlinien verwalten

- Installationen vornehmen (Software, Treiber)

- Dienste starten/ stoppen

 

Admin B entweder analog zu Admin A, oder eben echt Alles.

 

Admin A soll standardmäßig keinerlei Zugriffe auf Freigaben des Standort B haben (auch nicht auf administrative). Auf Freigaben von Standort A soll er standardmäßig ebenfalls keinen Zugriff haben, würde aber ggf. manuell Rechte erhalten.

 

Bei mehreren Admin A's soll es welche geben die sich lokal als Admins anmelden können, und welche die das nicht können.

 

Auf jeden Fall muss es einen Admin A geben, der sich am Server im Standort A anmelden kann.

 

Wenn Du mir dazu eine Lektüre empfehlen kannst, wäre ich Dir auch schon dankbar. Für eine umfassende Antwort küsse ich Dir bei nächster Gelegenheit sogar die Füße. :D

 

Grüße

 

Nick

Share this post


Link to post

Das mit den Füssen küssen, da warten wir, bis Waschtag ist :D

 

Deine Anforderungen lassen sich so nicht machen. Das Problem ist, dass ein "lokaler " Admin (gemeint ist hier ein Mitglied der Domänenlokalen Gruppe Administratoren im AD) auf allen DCs erstmal alles darf und sich selber dann auch zum Domänen-Admin oder mehr machen kann. Die Lösung würde hier nur in getrennten Domänen liegen, am besten sogar getrennte Forests. mit dem SBS tut man sich da jedoch schwer.

 

 

grizzly999

Share this post


Link to post

Wie weit würden sich diese Anforderungen denn machen lassen? Also welche gehen über die OU's und welche nicht? Ich frage, weil Mark Minasi in seinem Buch Windows Server 2003 eben so etwas in der Art beschreibt.

 

Nick

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...