Jump to content

SRV 2003 untergeordnete Admins


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag,

 

ich möchte bei mir auf dem Server untergeordnete Administratoren einrichten. Ich habe eine Domäne (testfirma.local und zwei Standorte zum testen eingerichtet (Köln und Berlin). Ich möchte nun einen untergeordneten Administrator der alles in Köln darf, jedoch keine rechte in Berlin hat und dasselbe umgekehrt mit Berlin und Köln.

Zum testen hab ich auch eine OU namens TEST1 mit dem Benutzen adminfake1 in Köln eingerichtet und für Berlin eine OU namens TEST2 mit dem Benutzer adminfake2 eingerichtet. Jedoch komme ich so nicht mehr weiter und weis nicht wie ich die Gruppenrechtlinien einstellen muss

Der DC befindet sich in Köln, der Server in Berlin.

 

Ich bedanke mich bei Ihnen im Voraus.

Link zu diesem Kommentar

ich habe mir jez im Buch Windows Server 2003 Von Mark Bla bla (will jez keine werbung machen) folgendes gelesen:

 

-Einrichtung einer Domäne namens navy.mil

 

-Innerhalb der navy.mil wird eine OU namens Norfolk-Admins und eine weitere namens San Diego-Admins angelegt. Benutzerkonten werden angelegt und die Administrator in die richtige Gruppe gestellt, je nachdem ob sie in San Diego oder Norfolk sitzen.

 

-Zum Schluß erhält die Gruppe der San Diego Admins die komplette Kontrolle über die San Diego-OU und die Norfolk-Admins-Gruppe die komplette über die Norfolk-OU.

 

So genau will ich es auch bei mir mit meinem zwei servern erstellen, ich selber glaube jedoch nicht das es, dass szenario beeinträchtigt, wenn ich zwei DC habe oder wenn es sich bei einem der SRV um einen SBS handelt.

Sicher bin ich mir jedoch nicht.

 

Vielen Dank für deine Hilfe

Link zu diesem Kommentar

Das geht schon so, dann kann derAdmin in "norfolk2 (oder was auch immer) in der OU alles tun, Benutzer anlegen und verwalten, Gruppen anlegen und verwalten, Computerkonten ......, Richtlinienverknüpfungen vornehmen (Keine Richtlinien erstellen!).

 

Aber du hast oben geschrieben:

Ich möchte nun einen untergeordneten Administrator der alles in Köln darf, jedoch keine rechte in Berlin hat

es ist eben die Fragen wie genau du den Terminus "alles darf" definiertst. Wenn darunter nur die Verwaltung der OAD-bjekte der OU Köln fällt, ok. Mehr leistet das von dir zitierte Vorgehen nicht. Ich persönlich habe unter "alles" noch etwas mehr verstanden.

 

grizzly999

Link zu diesem Kommentar

@grizzly999

 

Zitat:

 

grizzly999: Der eine Server ist DC, der andere Mitgliedserver? Oder auch DC?

Mustermann: Ja beide SRV sind DC, was ich vergessen hab zu erwähnen ist, dass eines der Server ein SBS ist.

grizzly999: Dann wird das wohl nichts.

 

Dem entnehme ich, dass es anders schon was geben könnte? Macht es einen Unterschied, ob der andere Mitgliedsserver ist oder auch DC?

 

Gibt es denn keine Möglichkeit zwei Standorte/ Domänen (oder was auch immer...) zu haben um damit das gewünschte Verhalten zu erreichen -

 

Sprich: Admins für Standort A die an Standort A die komplette Verwaltung inne haben aber eben nix in Standort B dürfen und umgekehrt?

 

Grüße

 

Nick

Link zu diesem Kommentar

Wir hängen da immer noch an dem Wort "Alles".

Verstehst du unter "Alles" wirklich alles, von der Benutzerverwaltung im AD über DHCP einrichten und authorisieren, weiter bei Standorten im AD einrichten bis hin zur Treiberinstallation und Plattenformartierung, etc. pp. ?!

Und der eine soll das können für sienen Standort und der andere dort gar nichts (und umgekehrt). Oder gibt es eine zentrale IT, die da drüber steht?

oder wie sieht das denn aus?

 

Ich kann dir nichts weiter sagen. Um etwas zu sagen, was geht und was nicht, braucht man Inforamtionen, Informationen und Informationen. Saubere, konkrete Anforderungen gehören selbstverständlich auch dazu. Im Nebel stochere ich nicht herum. :wink2:

 

 

grizzly999

Link zu diesem Kommentar

Hallo grizzly999,

 

ich will mal versuchen die Anforderung zu definieren:

 

1. Es gibt eine Domäne mit zwei oder mehr Standorten.

2. An Standort A gibt es einen SBS 2003

3. An Standort B gibt es einen Standard 2003er der auch als DC eingerichtet wird.

4. Die Standorte sind per VPN miteinander verbunden (spielt eine untergeordnete Rolle, nur der Vollständigkeitshalber)

5. An jedem Standort gibt es jeweils x Windows XP Clients

 

6. Es existiert natürlich ein übergeordneter Admin (wie sollten sonst auch die Standorte eingerichtet werden)

7. An Standort A soll es einen Admin geben der "Alles" darf an Standort A und "Nix" an Standort B. Der Admin an Standort B darf "Alles" an Standort B und (muss aber nicht) "Alles" an Standort A.

 

So, nun hab ich begriffen, dass dieses "Alles" so nicht geht. Für uns entscheidend wäre jetzt zu wissen wie nah wir an dieses "Alles" rankommen.

 

Es wäre zwingend erforderlich, dass der Admin A am Standort A folgendes kann:

- Benutzer verwalten (AD, Exchange, etc.)

- im Idealfall auch Gruppenrichtlinien verwalten

- Installationen vornehmen (Software, Treiber)

- Dienste starten/ stoppen

 

Admin B entweder analog zu Admin A, oder eben echt Alles.

 

Admin A soll standardmäßig keinerlei Zugriffe auf Freigaben des Standort B haben (auch nicht auf administrative). Auf Freigaben von Standort A soll er standardmäßig ebenfalls keinen Zugriff haben, würde aber ggf. manuell Rechte erhalten.

 

Bei mehreren Admin A's soll es welche geben die sich lokal als Admins anmelden können, und welche die das nicht können.

 

Auf jeden Fall muss es einen Admin A geben, der sich am Server im Standort A anmelden kann.

 

Wenn Du mir dazu eine Lektüre empfehlen kannst, wäre ich Dir auch schon dankbar. Für eine umfassende Antwort küsse ich Dir bei nächster Gelegenheit sogar die Füße. :D

 

Grüße

 

Nick

Link zu diesem Kommentar

Das mit den Füssen küssen, da warten wir, bis Waschtag ist :D

 

Deine Anforderungen lassen sich so nicht machen. Das Problem ist, dass ein "lokaler " Admin (gemeint ist hier ein Mitglied der Domänenlokalen Gruppe Administratoren im AD) auf allen DCs erstmal alles darf und sich selber dann auch zum Domänen-Admin oder mehr machen kann. Die Lösung würde hier nur in getrennten Domänen liegen, am besten sogar getrennte Forests. mit dem SBS tut man sich da jedoch schwer.

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...