14
Programme auf DC ausführen
Hallo,
ich bin gerade dabei einen weiteren Admin für unser Domäne zu konfigurieren. Er soll auch auf dem DC-Server z.B. die Managementconsole mmc.exe oder das AD dsa.msc um freigegeben OUs zu konfigurieren, starten können. Ich kann ihn jetzt auf dem DC in die Gruppe der Administratoren packen, dann geht alles. Aber das ist nicht Sinn der Sache.
Wie muss ich vorgehen, dass er das Recht hat, auf dem DC Programme ausführen zu können?
Danke für Eure Hilfe!
ich bin gerade dabei einen weiteren Admin für unser Domäne zu konfigurieren. Er soll auch auf dem DC-Server z.B. die Managementconsole mmc.exe oder das AD dsa.msc um freigegeben OUs zu konfigurieren, starten können. Ich kann ihn jetzt auf dem DC in die Gruppe der Administratoren packen, dann geht alles. Aber das ist nicht Sinn der Sache.
Wie muss ich vorgehen, dass er das Recht hat, auf dem DC Programme ausführen zu können?
Danke für Eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 383504
Url: https://administrator.de/contentid/383504
Printed on: April 25, 2024 at 20:04 o'clock
14 Comments
Latest comment
Du erstellst eine AD-Gruppe, z.B. "Computer-Admins", schiebst da deine zusätzlich angelegten Admin-Accounts rein und trägst die Gruppe in die lokalen Administratoren-Gruppen ein.
Anders bekommst du ja kein Recht, auf dem Gerät administrativ etwas ändern zu dürfen.
Anders bekommst du ja kein Recht, auf dem Gerät administrativ etwas ändern zu dürfen.
lokale Adminstratoren-Gruppe? Wo finde ich die denn?
Ich habe nur die Gruppe "Administratoren" und diese Gruppe hat zu weitreichende Berechtigungen.
Ich habe nur die Gruppe "Administratoren" und diese Gruppe hat zu weitreichende Berechtigungen.
auf einem DC gar nicht
Aber irgendwie muss er doch in der Lage sein, das AD oder die MMC zu starten, ohne direkt Rechte auf alles zu haben.
siehe mein Link
Hallo,
Das AD braucht keiner zu starten, wenn es ein DC ist starte das AD beim Rechnerstart. Und nur bei Fehler startet es nicht.
Wenn du keinen Admin willst, dann einen normalen Benutzer anlegen und Aufgaben Delegieren.
https://www.manageengine.com/products/ad-manager/windows-active-director ...
https://www.itprotoday.com/management-mobility/view-or-remove-active-dir ...
https://technet.microsoft.com/en-us/library/2007.02.activedirectory.aspx
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/dele ...
https://www.netwrix.com/active_directory_delegation.html
Gruß,
Peter
Das AD braucht keiner zu starten, wenn es ein DC ist starte das AD beim Rechnerstart. Und nur bei Fehler startet es nicht.
ohne direkt Rechte auf alles zu haben.
Du richtetst doch einen zusätzlichen neuen Admin ein. Ein Admin ist ein Admin ist ein Admin ist ein Admin ist ein Admin....Wenn du keinen Admin willst, dann einen normalen Benutzer anlegen und Aufgaben Delegieren.
https://www.manageengine.com/products/ad-manager/windows-active-director ...
https://www.itprotoday.com/management-mobility/view-or-remove-active-dir ...
https://technet.microsoft.com/en-us/library/2007.02.activedirectory.aspx
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/dele ...
https://www.netwrix.com/active_directory_delegation.html
Gruß,
Peter
Ok, ich versuche es nochmal mit dem Link. Ich habe aber ehrlich gesagt, den Zusammenhang nicht verstanden. Der "Admin" der eigentlich ein normaler Benutzer ist, soll schon auf dem Server auf dem sich u.a. das AD befindet, Programme ausführen.
Hi
Verstehe ich dich richtig das du einen Admin User erstellen willst der am DC (Warum auch immer) Users and Computers Active Directory öffnen können soll (ggf hier Benutzer anlegen etc.)und auch jegliche MMC Snapins wie DNS oder DHCP?
Aber weiter am DC nichts machen darf ??
Kann man solche Aufgaben nicht per RSAT vom Client aus machen.
Klar muss man dafür auch einen User anlegen und den entsprechend berechtigen aber am DC arbeitet man einfach nicht wenn kein Problem besteht.
UPS ausversehen auf heruntergefahren....
Mit freundlichen Grüßen Nemesis
Verstehe ich dich richtig das du einen Admin User erstellen willst der am DC (Warum auch immer) Users and Computers Active Directory öffnen können soll (ggf hier Benutzer anlegen etc.)und auch jegliche MMC Snapins wie DNS oder DHCP?
Aber weiter am DC nichts machen darf ??
Kann man solche Aufgaben nicht per RSAT vom Client aus machen.
Klar muss man dafür auch einen User anlegen und den entsprechend berechtigen aber am DC arbeitet man einfach nicht wenn kein Problem besteht.
UPS ausversehen auf heruntergefahren....
Mit freundlichen Grüßen Nemesis
Zitat von @chris123:
Ich kann ihn jetzt auf dem DC in die Gruppe der Administratoren packen, dann geht alles. Aber das ist nicht Sinn der Sache.
Ich kann ihn jetzt auf dem DC in die Gruppe der Administratoren packen, dann geht alles. Aber das ist nicht Sinn der Sache.
kannst du dich bitte mal entscheiden?
Habe ich doch. Und habe ja auch geschrieben, dass das nicht nicht Sinn der Sache ist.
Mir geht es darum, dass ein Benutzer mit erweiterten Rechten auf dem DC-Server und nicht per Remote, z.B. die mmc.exe ausführen darf. Delegierung im AD usw. sind mir klar.
Moin,
lg,
Slainte
Delegierung im AD usw. sind mir klar.
Na dann mach ihm/ihr das RSAT drauf und gut. Das ist das normale & empfohlene Vorgehen. Alles andere führt zu komischen Zuständen und kaputten DCs.lg,
Slainte
OK, jetzt habe ich es verstanden!
Danke!
Danke!
das war die erste Antwort in diesem Thread! Ich habe dich dann noch einmal darauf hingewiesen, dass du das lesen sollst!
