none
Enterprise-Admin hat kein Zugriff auf MemberServer der ChildDomain RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe bei mir in der Firma eine ParentDomain aufgebaut und darunter eine ChildDomain als Test-Domäne. In dieser Test-Domäne habe ich einen Member-Server hinzugefügt. Ich habe nun in der ParentDomain einen Enterprise-Admin angelegt und habe folgendes Problem.

    Ich komme leider nicht mit dem Enterprise-Admin per RDP auf dem Member-Server in der ChildDomain. Ich habe die Gruppe der Enterprise-Admins auf dem Member-Server in die Remoteeinstellungen eingetragen. Ich konnte mich dann verbinden, habe aber festgestellt, dass der Enterprise-Admin keine Rechte hat irgendwas auf dem Server zu machen. Kann mir einer sagen, wieso ich mit dem Enterprise-Admin keine Rechte in der ChildDomain habe, obwohl ich das haben sollte?

    Danke im Voraus,

    Robert

    Donnerstag, 11. Dezember 2014 08:07
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > machen. Kann mir einer sagen, wieso ich mit dem Enterprise-Admin keine
    > Rechte in der ChildDomain habe, obwohl ich das haben sollte?
     
    "Rechte" im Deutschen enthält - leider - zwei englische Begriffe:
    Privileges und Access Rights.
     
    Access Rights - also "Zugriffsrechte" - haben die Enterprise Admins von
    Haus aus nur in Domänen und auf Domain Controllern. Aber Privileges -
    also "Administrationsrechte" - haben sie überall im Forest. Sie können
    sich damit also selbst überall Zugriffsrechte verschaffen.
     
    Auf Domain Controllern sind sie m.W. automatisch Mitglied der
    domänenlokalen Administratoren-Gruppe. Auf Member Servern mußt Du dafür
    ggf. selbst sorgen (Eingeschränkte Gruppen oder GPP Lokale Benutzer und
    Gruppen).
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert h725rk Donnerstag, 11. Dezember 2014 12:57
    Donnerstag, 11. Dezember 2014 08:44
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    > machen. Kann mir einer sagen, wieso ich mit dem Enterprise-Admin keine
    > Rechte in der ChildDomain habe, obwohl ich das haben sollte?
     
    "Rechte" im Deutschen enthält - leider - zwei englische Begriffe:
    Privileges und Access Rights.
     
    Access Rights - also "Zugriffsrechte" - haben die Enterprise Admins von
    Haus aus nur in Domänen und auf Domain Controllern. Aber Privileges -
    also "Administrationsrechte" - haben sie überall im Forest. Sie können
    sich damit also selbst überall Zugriffsrechte verschaffen.
     
    Auf Domain Controllern sind sie m.W. automatisch Mitglied der
    domänenlokalen Administratoren-Gruppe. Auf Member Servern mußt Du dafür
    ggf. selbst sorgen (Eingeschränkte Gruppen oder GPP Lokale Benutzer und
    Gruppen).
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert h725rk Donnerstag, 11. Dezember 2014 12:57
    Donnerstag, 11. Dezember 2014 08:44
    |
  • Question
    Anmelden
    1
    Anmelden

    Also haben die Enterprise-Admins nur Zugriff auf die DC's in der ChildDomain und dürfen dort alles, aber kein Zugriff auf die MemberServer. Diesen Zugriff können Sie sich einfach verschaffen. Jetzt blick ich das ganze durch.

    Wie sollte ich das am besten einrichten?

    Muss ich in der ChildDomain eine GPO erstellen, damit die EnterpriseAdmins auf allen Servern in die Gruppe der lokalen Administratoren eingetragen werden oder soll ich die Enterprise-Admins in die Gruppe der DomainAdmins in der ChildDomain einfach hinzufügen?


    Sollte ich auch lieber DomainAdmins pro Domäne anlegen oder ist es kein Problem, wenn ich nur mit dem Enterprise-Admin arbeite?
    • Bearbeitet h725rk Donnerstag, 11. Dezember 2014 09:33
    Donnerstag, 11. Dezember 2014 09:23
    |
  • Question
    Anmelden
    1
    Anmelden
    > Muss ich in der ChildDomain eine GPO erstellen, damit die
    > EnterpriseAdmins auf allen Servern in die Gruppe der lokalen
    > Administratoren eingetragen werden oder soll ich die Enterprise-Admins
    > in die Gruppe der DomainAdmins in der ChildDomain einfach hinzufügen?
     
    Wie Du willst :D
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 11. Dezember 2014 12:02
    |