Domänenintegration Delegieren

03/04/2009 - 11:29 von Hans Peter | Report spam
Hallo zusammen,

ich habe hier ein Windows 2003 SBS Server. Jetzt möchte ich die
Domànenintegration an einen Kollegen deligieren. Es soll so sein das der
Kollege nur die Rechner in die Domàne integrieren und entfernen darf. Er
darf kein direkten (oder per RemoteDesktop) Zugriff auf den
Domànencontroller haben.

Dazu meine Fragen:

1. In welcher Gruppe stecke ich diesen Kollege?
2. Muss ich an den GPOs irgendetwas àndern, damit er sich nicht lokal
anmelden darf?
3. Muss ich sonst noch etwas beachten?

Vielen Dank

Mit freundlichem Gruß

Hans Peter
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
03/04/2009 - 12:15 | Warnen spam
Hi,

Hans Peter schrieb:
Jetzt möchte ich die Domànenintegration an einen Kollegen deligieren.
[...]
1. In welcher Gruppe stecke ich diesen Kollege?



in eine selbsterstellt -> "Computer-Ersteller"

2. Muss ich an den GPOs irgendetwas àndern, damit er sich nicht lokal
anmelden darf?



Nein, am DC darf er das sowieso nicht.

3. Muss ich sonst noch etwas beachten?



JEDER! Benutzer darf ohne weiteren Eingriff 10 Computer ins AD integrieren.
Damit es mehr werden kannst du ihm der Einfachheit halber "Vollzugriff" auf
Computerobjekte unter "cn=computers..." geben.

Schau dir die Artikel zur Objektdelegation auf meiner Seit an.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen