Domäne - mehrere Standorte - Verwaltung verteilen

[micha_g 10]

Hallo Leute,

ich bin gelernter FIS und bin grad mit einer eigentlich simplen Aufgabe überfordert.

Bzw. ich weiß nicht ob mein Lösungsweg denn der richtige ist...

 

Also folgendes:

 

Ich habe hier eine Domäne von ca. 400 Benutzern.

In der Domäne arbeiten 11 DCs.

Einer je Standort und einer an zentraler Stelle.

Demnach gibt es nun 10 Standorte und halt den einen Server zentral.

 

Nun sollte an jedem Standort eine Gruppe von 2 bis 3 Personen die Verwaltung von ihrem Server, ihren Druckern, ihren Nutzern und ihren Freigaben übernehmen ohne jedoch die Ressourcen der anderen Standorte beeinflussen zu können.

 

Ich mein so tolle Sachen wie der Assisten für Zuweisung der Objektverwaltung habe ich schon genutzt.

 

Nun wollte ich den realen Test machen.

D.h. erstmal würde der Systemverwalter vor Ort versuchen sich per Remotedesktop am DC anzumelden.

Aber da scheiterts dann schon.

Da kommt dann, dass ich nicht die Berechtigung habe.

Dann hab ich in der "Default Domain Controlelr Policy" bei "Anmelden über Terminaldienste zulassen" die Gruppe "Remotedesktopbenutzer" hinzugefügt.

Dann habe ich die Gruppe "Admins Standort XXX" in als Mitglied der Gruppe "Remotedesktopbenutzer" hinzugefügt.

Dann sollte das doch eigentlich gehen oder?

Naja, aber dann würde es wohl auf allen Servern gehen? Da bräuchte ich wohl ne Gruppenrichtlinie je Server?

 

Gehe ich total falsch an die Sache ran oder is das wirklich so umständlich?

 

Schonmal danke im voraus...

 

Micha

[hengel 10]

Hallo Micha,

ein paar infos wären noch interessant, hast du eine Globale domäne oder arbeitest du auch mit subdomains. Auserdem habe ich noch nicht so richtig verstanden was du da genau vor hast!

 

Du willst das es es für jeden standort einen (Admin) gibt, der aber nur seinen standort verwalten kann! Richtig?

 

Gruss holger

[micha_g 10]

Jap, deine Aussage ist richtig.

 

Es ist bereits eine Sub-Domain (xxxx.xxxx.thlv.de), welche aber nicht mehr in weitere Sub-Domains unterteilt werden kann.

D.h. die Administrative Unterteilung kann nun nur noch über Organisationseinheiten und Gruppenrichtlinien erfolgen.

 

Sonst noch was unklar?

 

Micha

[Dirk_privat 10]

Servus,

 

für RDP am DC mußt Du die User/ Gruppe in die Built-in Gruppe Remotedesktopuser hinzufügen.

 

Gruß

Dirk

[hengel 10]

Puh, ob das so einfach geht!

 

Es ist doch so, das es egal ist auf welchen server wer zugriff hat, da alle auf die gleichen daten zugreifen. Das heist wiederum das du den zugriff in der Konsole(mmc) einschränken musst, ob das jedoch möglich ist weiss ich nicht. werde mal etwas rum probieren und erstmal etwas literatur wälzen, melde mich auber auf jeden fall dazu nochmal!

 

Gruss Holger

 

Wenn ich vom thema abgekommen bin oder etwas falsch verstehe sag bescheid

[micha_g 10]

Naja es sind eben nicht die gleichen Daten.

Das ist ja das Problem.

Jeder Standort hat Gewisse sachen, die einfach für sich laufen.

Und die Systemer vor Ort sollen halt nur an ihren Servern rumfurwerken können....

[lefg 269]

Und die Systemer vor Ort sollen halt nur an ihren Servern rumfurwerken können....

Es gibt da Operatoren, Server-, Konten-, Sicherungs-, usw.

[Wolke2k4 10]

Naja es sind eben nicht die gleichen Daten.

Das ist ja das Problem.

Jeder Standort hat Gewisse sachen, die einfach für sich laufen.

Und die Systemer vor Ort sollen halt nur an ihren Servern rumfurwerken können....

 

Klingt für mich wie das ideale Einsatzszenario für Terminal Server. Den ganzen Administrationskram könnte man sich ersparen, die Datenhaltung wäre zentral und nur ein Admin Team in der Zentrale hätte den Hut auf.

Die ganzen "Hobbyadmins" in den Außenstellen kann man sich dann sparen...

 

Das nur mal so als Einwurf... sorry, wenn ich vom eigentlichen Thema abgekommen bin. ;)

[micha_g 10]

Ein komplettes Umplanen in Richtung Terminal Server ist nunmal leider nicht möglich.

Der aktuelle Stand ist das was da ist, das wurde nunmal durch ein Ministerium so entschlossen und daran kann ich nichts ändern.

Aber ich habe nun folgendes hinbekommen:

Ich habe nun testweise für einen Standort folgende OU-Struktur

 

Standort XX

+-- Benutzer

+-- Computers

\-- Domain Controllers

 

In Benutzer befinden sich alle personenbezogenen Benutzer.

In Computers habe ich alle Computer des Standorts verschoben.

In Domain Controllers befindet sich der Domain Controller des Standorts.

 

Folgende Gruppenrichtlinien sind in Verwendung:

 

Für Benutzer:

Proxy-Settings (Einstellung der Proxy Settings, unabhängig vom Problem)

 

Computers:

nichts

 

Domain Controllers:

Default Domain Controller Policy (nur verknüpft)

Standort XX Admin (Einstellung, dass Gruppe "Standort XX Admins" sich lokal und via Remotedesktop anmelden kann)

 

Das klappt auch soweit.

 

Des Weiteren habe ich die Gruppe "Standort XX Admins" für die OU Standort XX als Objektverwalter eingestellt.

 

Nun stellt sich für mich die Frage:

Wie ermögliche ich den Standort-Admins Clients ins Netz aufzunehmen?

Über den normalen Nutzer der keine administrativen rechte hat, würde das wohl kaum gehen.

 

Micha

[micha_g 10]

Ok ich muss mich selbst korrigieren.

Ich kann den PC auch mit einem normalen Nutzer in die Domäne aufnehmen.

Dann sehen ich soweit eigentlich kein Problem.

 

Oder?

 

 

Micha