none
DHCP Admin Berechtigung in Windows 2008 R2 Umgebung RRS feed

  • Frage

  • Hallo,
    ich möchte bestimmten Benutzern die DHCP-Administration erlauben, ohne dass diese gleich Domänen-Admins sind. Und sie sollen sich nicht auf einem DC anmelden.

    In unsere bisherigen Umgebung (vor 2008) ging das problemlos, indem diese Benutzer Mitglieder der Gruppe "DHCP-Administratoren" waren.
    Nun, mit 2008 R2 gibt es Probleme.

    So sieht es aus:
    DC: Windows 2008 R2
    Memberserver: 2008 R2, installiertes Feature "Remote Server Administration Tools, DHCP Server Tools"

    Wenn nun versucht wird, den entfernten DHCP-Server (ist übrigens einer der DCs) zu administrieren, ist nur ein kleines rotes Stopp-Schild zu sehen.

    (wenn der Benutzer temporär auch Domänen-Admin ist, gibt es keine Probleme).

    Weiss jemand, warum das fehlschlägt? Was fehlt noch?

    Ähnliche Sorgen gibt es übrigens auch mit der Administration von Active Directory Users and Computers. (Benutzer ist Mitglied der Gruppe Konten-Operatoren.) Da sind z.B. einige OUs (Domain Controllers, Users) nicht als OU, sondern als Type: Unknown sichtbar und nicht hineinwechselbar.

    Gibt es auch einen Weg, diese Dinge ohne Dom-Admin-Rechten zu administrieren?

    Danke für Eure Hilfe

    Mittwoch, 6. Oktober 2010 13:39

Antworten

  • Danke an alle für Eure Zeit und Eure Hilfe, ich hab nun die Problemursache gefunden.

    Es gibt nun  nämlich  neben der Domaingruppe "DHCP-Administratoren" auch die Gruppe "DHCP Administrators", und die war leer.
    Nach Hinzufügen der entsprechenden Benutzerkonten funktioniert nun auch wieder die remote DHCP-Administration.

    Gruß,
    Frank

     

    Dienstag, 19. Oktober 2010 15:04

Alle Antworten

  • Hi Frank Pusch,

    Hallo,
    ich möchte bestimmten Benutzern die DHCP-Administration erlauben, ohne dass diese gleich Domänen-Admins sind. Und sie sollen sich nicht auf einem DC anmelden.

    In unsere bisherigen Umgebung (vor 2008) ging das problemlos, indem diese Benutzer Mitglieder der Gruppe "DHCP-Administratoren" waren.
    Nun, mit 2008 R2 gibt es Probleme.

    Sollte es auch weiterhin, denn genau dafür gibt es die rollenbasierten
    Gruppen: http://technet.microsoft.com/de-de/library/dd296654(WS.10).aspx

    So sieht es aus:
    DC: Windows 2008 R2
    Memberserver: 2008 R2, installiertes Feature "Remote Server Administration Tools, DHCP Server Tools"

    Wenn nun versucht wird, den entfernten DHCP-Server (ist übrigens einer der DCs) zu administrieren, ist nur ein kleines rotes Stopp-Schild zu sehen.

    Ist die Firwall noch aktiv und die Ausnahmen gesetzt?
    http://technet.microsoft.com/en-us/library/cc725989.aspx

    (wenn der Benutzer temporär auch Domänen-Admin ist, gibt es keine Probleme).

    Weiss jemand, warum das fehlschlägt? Was fehlt noch?

    Das ist dann schon komisch...

    Ähnliche Sorgen gibt es übrigens auch mit der Administration von Active Directory Users and Computers. (Benutzer ist Mitglied der Gruppe Konten-Operatoren.) Da sind z.B. einige OUs (Domain Controllers, Users) nicht als OU, sondern als Type: Unknown sichtbar und nicht hineinwechselbar.

    Da wird die Gruppe anscheinend nicht alle Rechte auf der OU haben:
    http://support.microsoft.com/kb/305104/en-us

    Schau mal mit ADSI, ob die Gruppe Kontenoperatoren Rechte auf die OU hat und
    prüf die effektiven Rechte...

    Gibt es auch einen Weg, diese Dinge ohne Dom-Admin-Rechten zu administrieren?

    Ja sollte es mit den entsprechenden Rollen. Wieviele DCs nutzt ihr und gibt es
    noch weitere Fehlermeldungen im EventLog?

    Viele Grüße
    Christian

    Donnerstag, 7. Oktober 2010 06:11
  • Hallo Christian,

    Danke für Deine Hinweise.

    >Ist die Firwall noch aktiv und die Ausnahmen gesetzt?

    Ja, die Firewall ist noch aktiv, aber die Ausnahmen sind gesetzt. Habe auch noch weitere eingetragen (allow all TCPv4, UDP eingehend), hat aber auch nicht geholfen.

    >Das ist dann schon komisch...

    Stimmt. Auch das klingt nicht danach, dass es an der Firewall liegt.

    >Da wird die Gruppe anscheinend nicht alle Rechte auf der OU haben

    Hast Recht, hab ich mit adsiedit gecheckt und erweitert.
    Die OU-Administration ist damit OK.

    >Wieviele DCs nutzt ihr und gibt es noch weitere Fehlermeldungen im EventLog?
    Wir haben noch 2 Win2000-DCs, und bereits 2 Win2008-DCs. Einer der Win2008-DCs hat alle 5 FSMO-Rollen. Es gibt nur diese einzige Domäne in der Gesamtstruktur.

     

    Tja, ich weiss auch nicht weiter. OU- und DNS-Administration sind also OK,

    aber DHCP-Administration von remote geht leider nicht.

    Hat bitte noch jemand eine Idee zur Lösung?

    DANKE,
    Frank

    Freitag, 8. Oktober 2010 15:07
  • Wir haben noch 2 Win2000-DCs, und bereits 2 Win2008-DCs. Einer der Win2008-DCs hat alle 5 FSMO-Rollen. Es gibt nur diese einzige Domäne in der Gesamtstruktur.

    Damit ist ja zwangsläöufig der Modus der Domäne und des Forest noch im 2000er-Modus. Evtl. liegt es daran das das nicht geht? Aktivier doch mal auf dem DHCP-Server die Überwachung und schau nach, was da für fehlgeschlagene Versuche kommen.

     

    Sonntag, 10. Oktober 2010 12:10
  • Danke an alle für Eure Zeit und Eure Hilfe, ich hab nun die Problemursache gefunden.

    Es gibt nun  nämlich  neben der Domaingruppe "DHCP-Administratoren" auch die Gruppe "DHCP Administrators", und die war leer.
    Nach Hinzufügen der entsprechenden Benutzerkonten funktioniert nun auch wieder die remote DHCP-Administration.

    Gruß,
    Frank

     

    Dienstag, 19. Oktober 2010 15:04