AD Berechtigungen in Branch Offices

07/05/2008 - 10:10 von Jens kleinhans | Report spam
Hallo zusammen,

wir haben in den USA ein Branch Office (Child Domain) mit einem einzigen DC
(W2k3 R2 SP2) in dieser Domàne laufen. Zusàtzlich làuft in dieser Domàne
noch ein Single-Exchange 2007 Std. Server

Ich habe jetzt als Anforderunge bekommen, dass der lokale "Admin" sich nicht
in bestimmte universelle Gruppen aufnehmen darf, um sich hiermit z.B.
Exchange Admin Rechte geben zu können. Der lokale "Admin" ist in der Child
Domàne blöderweise jedoch Domànenadmin.

Meine erste Idee war, das Konto vom Domànenadmin in der Child Domàne zu
àndern und dem lokalen Admin einen neuen administrativen Benutzer zu
erstellen. Nur ist die Frage mit welchen Rechten, denn er muss natürlich
trotzdem Benuter anlegen können, DNS Eintràge bearbeiten können usw.
Er soll aber nicht sie die Rechte geben können um in Exchange Änderungen
vornehmen zu können.

vielen Dank für eure Hilfe.

Grüße,
Jens
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
07/05/2008 - 11:05 | Warnen spam
Buenos dias,

"Jens kleinhans" wrote:
Der lokale "Admin" ist in der Child
Domàne blöderweise jedoch Domànenadmin.



und damit hat er eben volle Rechte.

Nur ist die Frage mit welchen Rechten, denn er muss natürlich
trotzdem Benuter anlegen können, DNS Eintràge bearbeiten können usw.



Damit ein Benutzer Konten im AD einrichten sowie verwalten darf, kann man
die benötigten Rechte einfach über die Objektverwaltung dem Benutzer
delegieren. Wenn der Benutzer DNS-Eintràge bearbeiten soll, könnte man den
Benutzer in die Gruppe "DnsAdmins" aufnehmen. Das AdminPak (von einem Windows
Server 2003 im Verzeichnis %windir%\system32) sollte dann auf dem Client des
Benutzers installiert werden.

Es muss eben vorher klar sein, welche Arbeiten der Benutzer in der Domàne
Ausführen muss.

[Objektverwaltung zuweisen - Delegation von Aufgaben]
http://www.grurili.de/HowTo/Objektverwaltung.htm

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen