Discussion:
Domaincontroller lokale Adminrechte für bestimme Sites
(zu alt für eine Antwort)
Jörg
2009-07-22 13:55:33 UTC
Permalink
Hi NG,

ich muss einer bestimmten globalen Gruppe für einen w2k3-DC lokale
Adminrechte geben, damit Sie dort Windows-Komponenten (nicht AD-Snapins)
installieren und administrieren können z.b. WSUS3.

Dieser DC steht in einer separaten AD-Site (ausländischer Standort).

Kann man der globalen Gruppe per GPO oder sonst wie lokale Adminrechte für
diesen einen DC geben? Bin für einen Hinweis dankbar ;)

PS: ich verwende bereits eine GPO, um diese Gruppe auf Workstations zu
lokalen Admins zu machen (Restricted Groups: Builtin\administrators mapping
auf AD-Gruppe). Aber das geht hier ja nicht, dazu müsste ich ja den DC aus
der Standard-OU "Domaincontrollers" verschieben, sonst hätten die Kollegen
ja auf alle DCs Adminzugriff?!


gruß
Jörg
Steinsdorfer Walter
2009-07-22 15:32:59 UTC
Permalink
Hi,
Post by Jörg
Hi NG,
ich muss einer bestimmten globalen Gruppe für einen w2k3-DC lokale
Adminrechte geben, damit Sie dort Windows-Komponenten (nicht AD-Snapins)
installieren und administrieren können z.b. WSUS3.
Dieser DC steht in einer separaten AD-Site (ausländischer Standort).
Kann man der globalen Gruppe per GPO oder sonst wie lokale Adminrechte für
diesen einen DC geben? Bin für einen Hinweis dankbar ;)
PS: ich verwende bereits eine GPO, um diese Gruppe auf Workstations zu
lokalen Admins zu machen (Restricted Groups: Builtin\administrators mapping
auf AD-Gruppe). Aber das geht hier ja nicht, dazu müsste ich ja den DC aus
der Standard-OU "Domaincontrollers" verschieben, sonst hätten die Kollegen
ja auf alle DCs Adminzugriff?!
Ein Admin auf einem DC hat auch immer auf allen anderen DC´s Adminrechte.
Das liegt daran das der DC keine lokalen Gruppen kennt und er nur mit
Domänenaccounts arbeiten kann.
--
Viele Grüsse aus München

Walter Steinsdorfer
MVP Exchange Server
www.exusg.de
http://msmvps.com/blogs/wstein
Norbert Fehlauer
2009-07-23 18:24:51 UTC
Permalink
"Jörg" <***@gmx.de> schrieb
Hi,
Post by Jörg
Adminrechte geben, damit Sie dort Windows-Komponenten (nicht AD-Snapins)
installieren und administrieren können z.b. WSUS3.
Warum müssen sie sich dazu auf einem DC anmelden können? Man kann die WSUS
Konsole wie fast alle anderen auch einfach auf einem PC installieren und von
dort auf den DC zugreifen. Dazu wurden die Gruppen WSUS-Administrator und
WSUS-Berichterstatter erfunden. ;)

Bye
Norbert
Joerg
2009-07-23 19:40:10 UTC
Permalink
Post by Norbert Fehlauer
Warum müssen sie sich dazu auf einem DC anmelden können? Man kann die WSUS
Konsole wie fast alle anderen auch einfach auf einem PC installieren und von
dort auf den DC zugreifen. Dazu wurden die Gruppen WSUS-Administrator und
WSUS-Berichterstatter erfunden. ;)
Hi Norbert,

du hast Recht, das geht natürlich. In dem Fall wird das sogar reichen. Aber
trotzdem wäre es gut wenn die Kollegen die Maschine administrieren könnten,
ohne gleich Domainadmins zu sein.

gruß
Jörg
Mark Heitbrink [MVP]
2009-07-23 19:51:06 UTC
Permalink
Hi,
Post by Joerg
du hast Recht, das geht natürlich. In dem Fall wird das sogar reichen. Aber
trotzdem wäre es gut wenn die Kollegen die Maschine administrieren könnten,
ohne gleich Domainadmins zu sein.
Gib ihnen einen RODC. Damit gehts.

Stichwort: delegierter Administrator
http://technet.microsoft.com/de-de/library/cc753223%28WS.10%29.aspx

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Jörg
2009-07-24 10:48:33 UTC
Permalink
Post by Mark Heitbrink [MVP]
Hi,
Post by Joerg
du hast Recht, das geht natürlich. In dem Fall wird das sogar reichen. Aber
trotzdem wäre es gut wenn die Kollegen die Maschine administrieren könnten,
ohne gleich Domainadmins zu sein.
Gib ihnen einen RODC. Damit gehts.
Stichwort: delegierter Administrator
http://technet.microsoft.com/de-de/library/cc753223%28WS.10%29.aspx
Tschö
Mark
HI Mark,

das RODC Konzept scheint ganz ordentlich zu sein. Werde es mal damit
versuchen!

gruß
Jörg
Jörg
2009-07-24 11:07:46 UTC
Permalink
Post by Mark Heitbrink [MVP]
Hi,
Post by Joerg
du hast Recht, das geht natürlich. In dem Fall wird das sogar reichen. Aber
trotzdem wäre es gut wenn die Kollegen die Maschine administrieren könnten,
ohne gleich Domainadmins zu sein.
Gib ihnen einen RODC. Damit gehts.
Stichwort: delegierter Administrator
http://technet.microsoft.com/de-de/library/cc753223%28WS.10%29.aspx
Tschö
Mark
ehm das betrifft leider nur Windows 2008 Server ?

gruß
Steinsdorfer Walter
2009-07-24 12:35:45 UTC
Permalink
Hi,
Post by Jörg
Post by Mark Heitbrink [MVP]
Hi,
Post by Joerg
du hast Recht, das geht natürlich. In dem Fall wird das sogar reichen. Aber
trotzdem wäre es gut wenn die Kollegen die Maschine administrieren könnten,
ohne gleich Domainadmins zu sein.
Gib ihnen einen RODC. Damit gehts.
Stichwort: delegierter Administrator
http://technet.microsoft.com/de-de/library/cc753223%28WS.10%29.aspx
Tschö
Mark
ehm das betrifft leider nur Windows 2008 Server ?
ja, ab Windows Server 2008 gibt es diese Rolle.
--
Viele Grüsse aus München

Walter Steinsdorfer
MVP Exchange Server
www.exusg.de
http://msmvps.com/blogs/wstein
Mark Heitbrink [MVP]
2009-07-24 12:36:06 UTC
Permalink
Hi,
Post by Jörg
ehm das betrifft leider nur Windows 2008 Server ?
Jupp. Es muss ja schliesslich einen Grund geben und Vorteile bieten,
für den Wechsel von 2003 zu 2008.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Loading...