none
Admin Verwaltung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo erstmal,

    Ich sitze seit längerem an einem Thema das mich immer wieder beschäftigt.
    Und zwar gibt es im Unternehmen Eine Zentrale Domain in der alle Mitarbeiter als Benutzer angelegt sind. (Domain A)
    An den unterschiedlichen Standorten gibt es eigene Domains (Domain B) mit einem "outgoing" Trust sodass sich die Mitarbeiter anmelden können.
    Das funktioniert auch wunderbar, unsere Kunden bekommen an Domain B eigene User Accounts für die Dauer ihrer anwesenheit.

    die Berechtigung der Kunden ist kein Problem.
    die Berechtigung der Mitarbeiter nach alle MA haben Recht XY in Domain B und spezielle MA haben Recht AB,
    lassen sich sehr leicht durch mehrere Domail lokal gruppen definieren indem ich mit den einzelnen Usern oder der Domain global gruppe der Domain A arbeite.
    soweit so gut

    nun zur Problematik:
    wie kann ich bestimmten Benutzern der Domain A "Domain Admin" rechte geben.
    da die Admin Gruppen entweder Global oder universal sind ist es nicht möglich Benutzer anderer Domains zuzufügen.
    es ist keine option alle domains in einen Forrest zu Packen damit die Universale gruppe verwendet werden kann.
    bei über 30 Standorten und domänen ist das nicht zielführend.

    Vielen Dank für die Hilfe 
    lg
    Markus



    Donnerstag, 16. Juli 2015 08:57
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Danke

    das hab ich mir fast gedacht

    in den Builtin\Administrators auf den DC's hab ich se schon zugefügt aber das gilt nur dort füe alle anderen Server und Client's müssen sie via GPO zugefügt werden.

    Danke

    und lg

    Markus

    • Als Antwort markiert Markus Fricke Dienstag, 21. Juli 2015 06:25
    Montag, 20. Juli 2015 09:27
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 16.07.2015 10:57, schrieb Sakuja:
    > wie kann ich bestimmten Benutzern der Domain A "Domain Admin" rechte geben.
     
    A-G-DL-P
    Account in Globale Gruppe diese in DomainLocal Gruppe und für diese
    Berechtigungen setzen.
     
    Du musst nur die Globale (oder Universelle) Gruppe in die Lokale der
    Domäne schachtel.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 16. Juli 2015 09:46
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Danke das ist mir bekannt und das Funktioniert auch

    mein Problem ist das die Gruppe "Domain Admins" global ist und somit keine user oder gruppen anderer Domains zulässt 

    und die Gruppe "Enterprise Admins" universal ist und nur im eigenen Forrest (subdomain) verwendet werden kann

    jedoch keine Davon geeignet ist Trusted Users bzw der Gruppe "Domain Admins" aus der Trusted Domain in der Domain B Domain Administrator Rechte zu geben.

    lg

    Donnerstag, 16. Juli 2015 10:17
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 16.07.2015 12:17, schrieb Markus Fricke:
    > Danke das ist mir bekannt und das Funktioniert auch
     
    - Account "Benutzer-Dom2" in Globale Gruppe "Domain Admins"(Dom1)
    - neue Domain Local Group "LokAdm" (Dom2)
    - "LokAdm" (Dom2) ist Mitglied der "Domain Admins" (Dom2)
    - "Domain Admins (Dom1) in "LokAdm-Dom2"
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 16. Juli 2015 12:46
    |
  • Question
    Anmelden
    1
    Anmelden
    > - Account "Benutzer-Dom2" in Globale Gruppe "Domain Admins"(Dom1)
    > - neue Domain Local Group "LokAdm" (Dom2)
    > - "LokAdm" (Dom2) ist Mitglied der "Domain Admins" (Dom2)
     
    Nee - DL in GG geht nicht :)
     
    Du mußt delegieren - das einfachste dürfte sein, die Domain Admins von
    Dom1 in die Builtin\Administrators der Dom2 zu stecken.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Donnerstag, 16. Juli 2015 12:52
    |
  • Question
    Anmelden
    0
    Anmelden
    Am 16.07.2015 14:52, schrieb Martin Binder [MVP]:
    > Du mußt delegieren - das einfachste dürfte sein, die Domain Admins von
    > Dom1 in die Builtin\Administrators der Dom2 zu stecken.
     
    Stimmt, ich Depp. Erste Seite ADMT Prep :-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 16. Juli 2015 13:21
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Danke

    das hab ich mir fast gedacht

    in den Builtin\Administrators auf den DC's hab ich se schon zugefügt aber das gilt nur dort füe alle anderen Server und Client's müssen sie via GPO zugefügt werden.

    Danke

    und lg

    Markus

    • Als Antwort markiert Markus Fricke Dienstag, 21. Juli 2015 06:25
    Montag, 20. Juli 2015 09:27
    |