ich möchte einem mitarbeiter unserer edv abteilung zugriffsrechte vergeben.
wir haben einen nt 4 domäne, er soll sich nun lokal an allen 300 workstations im netz mit administrator anmelden können aber keinen zugriff auf unsere nt server haben… wenn ich ihn in die gruppe administratoren aufnehme kann er sich logischerweise auch an den nt servern anmelden. gibt es einen lösung an der er sich mit admin und eben vollen rechten an den workstations aber nicht am server anmelden kann ? das problem an der sache er weiss das administrator kennwort und wir wollten dies jetzt ändern, das problem dabei er kann sich dann ohne das neue pwd zu wissen nicht mehr an den workstations anmelden.
da wird es höchste Zeit für eine saubere Trennung. User, die unterschiedliche Rechte haben, sollten auch unterschiedlichen Gruppen zugewiesen werden.
Also: Neue Gruppe (z.B. WorkstationAdmins), lokale Administratorrechte für die Workstations geben und den/die relevanten User zuordnen.
In einem 300-User-Netz lohnt es sich schon, etwas Gehirnschmalz in die Rechtestruktur zu investieren.
Lege eine neue Gruppe an, die Admin-Rechte für die Domäne hat und füge ihn zu dieser Gruppe hinzu. Dann muß er nicht mehr in der Domänenadmingruppe drinn sein.
Um sich aber am Server anmelden zu können, muß ein User noch ein Sonderrecht haben („lokale Anmeldung“ auf dem Server, wenn ich mich nicht täusche…), dieses gibts Du der neuen Gruppe nicht…
wenn sich der User nicht an der Domäne anmelden darf, dann mußt du ihn als lokalen User hinzufügen und das AFAIK bei 300 Rechnern einzeln. Viel Spaß. Warum soll er Administrator sein und doch keiner?
Welches Adminpasswort willst du ändern? Das Domänenadminpasswort? Falls ja, kann er sich ja weiterhin als lokaler Admin am Rechner anmelden (das Kennwort bleibt dann ja). Und für die Domäne richtet ihr ihm einfach keinen User ein.
Ich hoffe ich hab dich tw. richtig verstanden.
Falls noch Fragen sind, einfach melden.
Gruß
Andreas (MCP NT Server 4.0)
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Lege eine neue Gruppe an, die Admin-Rechte für die Domäne hat
und füge ihn zu dieser Gruppe hinzu. Dann muß er nicht mehr in
der Domänenadmingruppe drinn sein.
und worin ist dann der Unterschied?? Ein Admin für eine Domäne bleibt Admin, egal durch welche Gruppe er das Recht bekommen hat.
Um sich aber am Server anmelden zu können, muß ein User noch
ein Sonderrecht haben („lokale Anmeldung“ auf dem Server, wenn
ich mich nicht täusche…), dieses gibts Du der neuen Gruppe
nicht…
je nach dem, wie es mit „am Server anmelden“ gemeint war. Falls er vom Client aus mein, tut das so nicht. Das Recht lokale Anmeldung ist wirklich nur, wenn man direkt am Server sitzt.
Dein Anliegen läßt sich nicht ohne einen gewissen Aufwand realisieren.
Anlegen einer neuen globalen Gruppe in der Domaine (z.B. LokalAdmin)
Auf jeder Workstation diese globale Gruppen in die lokale Gruppe „Administratoren“ aufnehmen (jedoch nicht auf den Servern der Domaine)
Wenn Du jetzt jemanden Administrationsrechte auf den Workstations vergeben willst, muß er nur mehr Mitglied der globalen Gruppe „LokalAdmin“ sein.
Ich weiß, das diese Lösung mit etwas Aufwand verbunden ist, aber wenn Du eine automatische Softwareverteilung im Einsatz hast, dann kannst Du das anlegen der lokalen Gruppe mittels Script automatisieren.
Ich hoffe, das ich Dir damit weiter helfen konnte.
mlg Zucky
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]