Active Directory 2003/2008

[Fachidiot90]

Hallo,

bin ganz frisch in der Ausbildung und habe dementsprechend auch noch nicht so viel Ahnung.

Also ich fang mal an:

Unsere Computer sind alle in der Domäne. Sie werden über AD 2003 verwaltet. Gestern mussten für die "neuen" Administratoren spezielle Rechner festlegen an dem sie Admintätigkeiten ausüben können. Da haben wir gesehen das nach 64 Rechnern pro Admin schluss ist.

Jetzt meine Frage:

Kann man bei dem AD2008 auch nur 64 Rechner pro Admin festlegen oder geht da schon mehr??

Ich danke jetzt schon für antworten.

Liebe Grüße

Fachidiot90

[schepp]

Das kann ich dir so nicht sagen, da wir Gruppen erstellen um Berechtigungen zu vergeben. So stößt man auch an keine ominösen 64 PC-Grenzen

Gruß

[fisi_girly]

lol

seid wann gibts im ad 2003 pc-grenzen..is mir ja ganz neu

lg

[Fachidiot90]

seit es mir gesagt wurde, das das so ist. Deswegen wollen wir rüber auf AD2008, aber wollen vorher wissen, wie dort die grenze ist.

Gruß

Fachidiot90

[Sheggy]

Hast du das auch schon selber ausprobiert?

Ich kenne auch keine PC-Grenze Oo

[fisi_girly]

ich hab vor net all zu langer zeit mehrere win server 2003 lehrgänge gemacht u da wurde nix von so ner grenze erzählt.

aber hey... Google ist dein Freund -

[Enno]

Ich glaub ich weis was er macht.

Man kann einem User doch im ADUC sagen, melde dich nur an diesem PC an.

Ich denke dort schränken Sie ein das die Admins sich nur an bestimmten Rechnern anmelden können.

[fisi_girly]

ja gut..das könnte sein aber wer macht denn bitte sowas xD

[Fachidiot90]

Genau Enno,

das meine ich auch.

Bei uns heißt es Person xy darf sich nur an PC1, PC2 und PC3 Admin sein. Auf allen anderen ist er normaler Nutzer.

@fisi_girly: Behörden machen sowas.

Achja google schon die ganze Zeit. Bei mir kommt nichts raus.

Gruß

Fachidiot90

[fisi_girly]

behörden machen sowas gar net...zumindest net die, in der ich arbeite

[Fachidiot90]

bei mir schon.

[fisi_girly]

aber warum setzt man sowas bitte ein...das is doch schwach-fug...

also für sowas hab ich ja kein verständnis..da stellt man sich ja als admin steine in den weg...so n quatsch

[Fachidiot90]

naja,

kann man halt nix machen.

Weiß jmd darüber jetzt bescheid, ob man bei AD2008 mehr freie "plätze" hat?:confused:

[Sheggy]

Bei sowas macht die Benutzerverwaltung schon keinen Sinn mehr.

Ich arbeite auch bei einer "Behörde" und bei uns haben die User, egal ob hochrangig oda nich, null-komma-null Rechte. Mein Kollegin und ich sind die Einizgen mit mehr Rechten.

Ich finde grade bei ner Behörde ist es sehr wichtig, dass nicht jeder Adminrechte hat, auf Grund der zum Teil sehr heiklen Daten die dort verarbeitet werden.

[fisi_girly]

genau so läuft es bei uns auch...meine kolleginnen und ich sind die einzigen admins und der rest sind benutzer. reicht ja auch...

ich frag mich nur, wer auf diesen schwachsinn in dem betrieb von fachidiot gekommen ist. das war bestimmt n "dau"

[Fachidiot90]

Ok,

aber unsere Behörde hat insgesamt 2400 Mitarbeiter.

An den Außenstandorten, brauchen die Betreuer für bestimmt PC die Adminrechte und irgendwann war es zu viel und AD2003 hat good bye gesagt.

[fisi_girly]

aah...du meinst bestimmt irgendwelche verfahrensbetreuer oder??

aber da bekommt er doch nur für eine sache rechte und das wars....

[Sheggy]

Wenn man sich die GroupPolicies mal ein bisschen näher anschaut, gibt es bestimmt auch ne andere Lösung, als den Leuten Adminrechte zu geben.

Da wir nicht wissen was deine Mitarbeiter tun sollen, muss du dich an der Stelle selber informieren. :cool:

[Fachidiot90]

Systembetreuer, die irgendwelche Software installieren usw.

Er bekommt einen neuen account und der is auch gleichzeitig adminaccount. Aber wir wollen damit nur erreichen das er mit diesem Adminaccount, nur auf die Rechner drauf geht, die wir freigeben.

Nur für die Rechner die er betreuen soll. Nach 64 war dort ende.

[fisi_girly]

das kann man doch über ou's bzw. gruppenrichtlinien einstellen oder etwa net? da kann er das dann wirklich nur dort wo er soll...oder?

[Sheggy]

Also sowas sollte auf jeden Fall über GroupPolicy lösbar sein.

[fisi_girly]

ihr solltet vielleicht doch mal euer "user-konzept" überdenken und euer ad neu strukturieren, fachidiot...

da muss man keine upgrade auf ne neuere serverversion machen

[Fachidiot90]

ach, ich weiß es ja auch net, die werden sich dabei irgendwas gedacht haben. Bin halt seit dem 1. August hier muss noch die Abläufe kennen lernen.

[Enno]

die werden sich dabei irgendwas gedacht haben

DAS streiche mal ganz schnell wieder. Du bist in einer Behörde. Dort wird nicht gedacht!

Also es gibt einige Konzepte wie man das lösen kann.

a) via OUs und GPOs

Subdomänen für jede Aussenstelle einrichten und dort sind die User admin in allen anderen Domänen nur User

c) mal ein RICHTIGES Konzept erarbeiten was man damit alles bezwecken will.

Also was soll der User wo dürfen (nur bestimmte Software installieren, nur auf betimmten PCs oder what ever)

d) denk dir noch was aus.

[Fachidiot90]

haha wie gut.

Ich danke erstmal für eine "qualitative" Antwort.