none
Domain Admin unterschiedliche Rechte? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe aktuell das "Problem" das mich gerade wurmt:

    Ich habe eine Infrastruktur aufgebaut, die aus 6 DCs besteht - 3 Root DCs und 3 Child DCs. 

    Egal, ob ich aus der Root Domain heraus, oder der Child Domain heraus Benutzer anlege, wenn ich die Benutzer in der Child Domäne (die produktive Domäne) zur Gruppe der Domänen Admins hinzufüge (in der ich ebenfalls Mitglied bin), sehen diese neuen User nicht alles, was ich mit meinem User sehen kann, obwohl die Rechte identisch sind!

    So können diese Benutzer zwar OUs erstellen, diese aber nicht wieder entfernen, da sie in den Eigenschaften der OU, den Haken für versehentliches Löschen nicht entfernen können, weil sie den Reiter dafür überhaupt nicht sehen.

    Ich habe bereits die Berechtigungen geprüft - diese sind mit meinen identisch. Ich habe ebenfalls geprüft, ob vllt. eine GPO oder GPP dazwischenfunkt - dies ist ebenfalls nicht der Fall.

    Woran kann es liegen, dass Domänen Admins offensichtlich unterschiedliche Berechtigungen haben, ohne dass dies explizit eingestellt wurde?

    Besten Gruß,

    Fred

    Freitag, 28. März 2014 09:08
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Sind die Advanced Features (View --> Advanced Features) in der ADUC-Konsole aktiviert? Erst dann ist der Reiter "Object" sichbar.

    Gruß

    • Als Antwort markiert Fred Eric S Freitag, 28. März 2014 09:41
    Freitag, 28. März 2014 09:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 28.03.2014 10:08, schrieb Fred Eric S:

    Ich habe eine Infrastruktur aufgebaut, die aus 6 DCs besteht - 3 Root
    DCs und 3 Child DCs. [...] wenn ich die Benutzer in der Child Domäne
    (die produktive Domäne) zur Gruppe der Domänen Admins hinzufüge (in
    der ich ebenfalls Mitglied bin), sehen diese neuen User nicht alles

    Es sind 2 Domänen. Die DomänenAdmins sind immer nur Admmins in ihrer jeweiligen Domäne. Du verwendest AGDLP zur Schachtelung?

    http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/
    Das Prinzip ist bekannt als das “A-G-DL-P-Prinzip” (oder kurz auch "AGDLP"):
    - Accounts (Benutzerkonten)
    - go in Global Groups (Globale Gruppen)
    - nested in Domain Local Groups (Domänenlokale Gruppen)
    - that are granted Permissions (Berechtigungen)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 28. März 2014 09:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Sind die Advanced Features (View --> Advanced Features) in der ADUC-Konsole aktiviert? Erst dann ist der Reiter "Object" sichbar.

    Gruß

    • Als Antwort markiert Fred Eric S Freitag, 28. März 2014 09:41
    Freitag, 28. März 2014 09:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke :-) Mir war nicht bewusst, dass auch manche Eigenschaften ausgeblendet sind...

    Besten Gruß,

    Fred

    Freitag, 28. März 2014 09:42
    |