Domaincontroller lokale Adminrechte für bestimme Sites

22/07/2009 - 15:55 von Jörg | Report spam
Hi NG,

ich muss einer bestimmten globalen Gruppe für einen w2k3-DC lokale
Adminrechte geben, damit Sie dort Windows-Komponenten (nicht AD-Snapins)
installieren und administrieren können z.b. WSUS3.

Dieser DC steht in einer separaten AD-Site (auslàndischer Standort).

Kann man der globalen Gruppe per GPO oder sonst wie lokale Adminrechte für
diesen einen DC geben? Bin für einen Hinweis dankbar ;)

PS: ich verwende bereits eine GPO, um diese Gruppe auf Workstations zu
lokalen Admins zu machen (Restricted Groups: Builtin\administrators mapping
auf AD-Gruppe). Aber das geht hier ja nicht, dazu müsste ich ja den DC aus
der Standard-OU "Domaincontrollers" verschieben, sonst hàtten die Kollegen
ja auf alle DCs Adminzugriff?!


gruß
Jörg
 

Lesen sie die antworten

#1 Steinsdorfer Walter
22/07/2009 - 17:32 | Warnen spam
Hi,

"Jörg" schrieb im Newsbeitrag
news:ovxl6w2lwqlj$.1n7dde64szo1c$
Hi NG,

ich muss einer bestimmten globalen Gruppe für einen w2k3-DC lokale
Adminrechte geben, damit Sie dort Windows-Komponenten (nicht AD-Snapins)
installieren und administrieren können z.b. WSUS3.

Dieser DC steht in einer separaten AD-Site (auslàndischer Standort).

Kann man der globalen Gruppe per GPO oder sonst wie lokale Adminrechte für
diesen einen DC geben? Bin für einen Hinweis dankbar ;)

PS: ich verwende bereits eine GPO, um diese Gruppe auf Workstations zu
lokalen Admins zu machen (Restricted Groups: Builtin\administrators
mapping
auf AD-Gruppe). Aber das geht hier ja nicht, dazu müsste ich ja den DC aus
der Standard-OU "Domaincontrollers" verschieben, sonst hàtten die Kollegen
ja auf alle DCs Adminzugriff?!



Ein Admin auf einem DC hat auch immer auf allen anderen DCŽs Adminrechte.
Das liegt daran das der DC keine lokalen Gruppen kennt und er nur mit
Domànenaccounts arbeiten kann.

Viele Grüsse aus München

Walter Steinsdorfer
MVP Exchange Server
www.exusg.de
http://msmvps.com/blogs/wstein

Ähnliche fragen