Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Wir wollen unsere AD Struktur überarbeiten und dachten es wäre gut wenn die Admins für die verschiedenen Bereiche/OUs nur Rechte für die jeweilige OU haben. Gerade wenn jemand neues für einen Bereich kommt soll der nicht Zugriff auf alles als Domänenadministrator haben
Hat jemand eine Idee wie man das am besten verwirklicht?
Active Directory Benutzer und Computer -> Rechtsklick auf die OU in der er was tun soll -> Objektverwaltung zuweisen und dort die Rechte so einstellen wie du das haben willst.
Darfst die Leute dann natürlich nicht in die Domänen-Admins Gruppe packen, am besten eigene User und dann granular die Rechte vergeben die sie bekommen sollen.
würd ich fast genau so machen, nur statt die Rechte der Nutzer einzeln zu verwalten Benutzergruppen (Security Groups) mit den entsprechenden Rechten nutzen und die Nutzer zuweisen, dafür gibt es sie schließlich ;-)
Super das sieht gut aus. Man liest immer über den ersten Punkt hinweg
Ergänzung ()
so richtig scheint das noch nicht zu gehen. Der Benutzer der sich anmeldet muss administrator sein um Active Directory zu öffnen. Aber wenn er admin ist kann er auch alles im AD bearbeiten, unabhänging von der Rechtezuweisung.
Objektverwaltung hast du für die gewünschte OU entsprechend einer AD Sicherheitsgruppe, worin die jeweiligen Administrator Accounts für die OU hinterlegt sind, zugewiesen und die bestehenden Rechte aufgelöst?
Die Rechte auf dem Rechner, wo die AD Konsole geöffnet wird (wozu in der Regel normale Benutzerrechte auf dem Rechner ausreichen), sind unabhängig von den Rechten im AD. Die jeweilige Person kann also lokale Administratorrechte auf dem Rechner besitzen, aber im AD dann nur die Objekte unterhalb der gewünschten OU bearbeiten und keine Objekte außerhalb dieser.
Wir greifen per Remote auf den DC zu und öffnen dort das AD. Lokaler admin auf dem DC heißt aber vollzugriff auf das AD. Das habe ich eben getestet. Der test Account ist aktuell kein Admin oder Domänenadmin.
Ergänzung ()
Gibt es alternativ eine Möglichkeit das Bearbeiten von OUs für bestimmte Benutzer zu verbieten?
Ergänzung ()
Was ich ebenfalls beobachte ist, dass wenn ich erneut auf die Objektverwaltung schaue nichts angezeigt wird was ich bis jetzt dort hinzugefügt habe.
Du meldest dich nicht am DC an. Niemals. Am besten ist das eine Core Installation.
Du installierst dir die RSAT Tools und das auch eher nur auf einer PAW oder Jump Server.
