none
Builtin Gruppe "Administratoren" RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo,
    ich habe einen Benutzer in die BuiltIn Gruppe "Administratoren" gepackt.
    Ab da kann er sämtliche Gruppen in meinem AD bearbeiten.
    Warum?
    Ich dachte die BuiltIn Gruppen sind nur die "Lokalen" Gruppen eines DC's

    Gruß
    Dennis
    Dienstag, 28. Juli 2015 14:34
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Er sollte aber z. B. Kontingente und DHCP auf dem Server (DC) verwalten
    > können.....
     
    Kontingente geht m.W. nur als Admin - ein Grund, warum ein DC nur DC ist
    und Fileservices auf einen anderen Server kommen.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    • Als Antwort markiert HaschkeD Donnerstag, 30. Juli 2015 07:39
    Mittwoch, 29. Juli 2015 16:54
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 29.07.2015 15:39, schrieb HaschkeD:
    > Er sollte aber z. B. Kontingente und DHCP auf dem Server (DC) verwalten
    > können.....
     
    Dann ist der DC die falsche Station für den Job, dort gibt es ausser am
    RODC keine "lokalen" Admins/Verwalter.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert HaschkeD Donnerstag, 30. Juli 2015 07:39
    Mittwoch, 29. Juli 2015 17:22
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Ich dachte die BuiltIn Gruppen sind nur die "Lokalen" Gruppen eines DC's
     
    Ja, sind sie. Aber diese "lokalen" Administratoren sind "domänenlokal" :)
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 29. Juli 2015 09:08
    Dienstag, 28. Juli 2015 14:48
    |
  • Question
    Anmelden
    0
    Anmelden
    OK. Dann ist das also korrekt.

    Was kann ich machen damit der User nur auf den DC's "lokale Adminstratoren" sind aber nicht alles "domänenweit" dürfen?
    Mittwoch, 29. Juli 2015 07:51
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 29.07.2015 schrieb HaschkeD:
    Hi,

    Was kann ich machen damit der User nur auf den DC's "lokale Adminstratoren" sind aber nicht alles "domänenweit" dürfen?

    Gar nichts. Das ist nicht vorgesehen. Es sei denn du nutzt RODCs.
    An einem DC melden sich Domänen-Admins an und sonst niemand. ;)

    Bye
    Norbert

    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 29. Juli 2015 09:08
    Mittwoch, 29. Juli 2015 08:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 28.07.2015 16:34, schrieb HaschkeD:
    > ich habe einen Benutzer in die BuiltIn Gruppe "Administratoren" gepackt.
    > Ab da kann er sämtliche Gruppen in meinem AD bearbeiten.
    > Warum?
    > Ich dachte die BuiltIn Gruppen sind nur die "Lokalen" Gruppen eines DC's
     
    Was war dein Ziel? Admin auf allen Clients?
    Dann nutze GPP Users and Groups.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 29. Juli 2015 13:24
    |
  • Question
    Anmelden
    0
    Anmelden
    Zugriff per RDP habe ich für den User gesperrt.
    Er sollte aber z. B. Kontingente und DHCP auf dem Server (DC) verwalten können.....
    Mittwoch, 29. Juli 2015 13:39
    |
  • Question
    Anmelden
    1
    Anmelden
    > Er sollte aber z. B. Kontingente und DHCP auf dem Server (DC) verwalten
    > können.....
     
    Kontingente geht m.W. nur als Admin - ein Grund, warum ein DC nur DC ist
    und Fileservices auf einen anderen Server kommen.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    • Als Antwort markiert HaschkeD Donnerstag, 30. Juli 2015 07:39
    Mittwoch, 29. Juli 2015 16:54
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 29.07.2015 15:39, schrieb HaschkeD:
    > Er sollte aber z. B. Kontingente und DHCP auf dem Server (DC) verwalten
    > können.....
     
    Dann ist der DC die falsche Station für den Job, dort gibt es ausser am
    RODC keine "lokalen" Admins/Verwalter.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert HaschkeD Donnerstag, 30. Juli 2015 07:39
    Mittwoch, 29. Juli 2015 17:22
    |