Moin,

mit was für Konsequenzen habe ich zu rechnen wenn ich die Gruppe der Domänen-Admins aus der Lokalen Gruppe eines Clients werfe dieser aber weiterhin in der Domäne verbleiben soll?

Hab da kein gutes Bauchgefühl bei und würde diese Gefühl gerne untermauern :cool:

VG, Ttobsen

Die zentrale Verwaltung des Clients faellt komplett weg.

- MMC SnapIn Computerverwaltung und alle darin enthaltenen SnapIns nicht mehr aus der Ferne ausles-/steuerbar

-- Kein zentrales Auslesen der Eventlogs

-- Kein zentrales Starten/Stoppen von Diensten

-- Keine zentrale Aenderung von Kennwoertern der lokalen Benutzer

---> Wenn Kennwoerter fuer lokale Benutzer / lokaler Admin nicht mehr vorhanden sind, dann kann man immer sich noch per Domainadmin anmelden und ggfl. Kennwoerter neu setzen.

- Administrative Freigaben (C$,admin$,D$...) funktionieren nicht mehr

- Zentrale Verwaltung von auf dem Client freigegebenen Druckern funktioniert nicht mehr

- Zentraler Zugriff auf die Registry faellt weg.

- Encrypted File System (EFS) funktioniert nicht mehr richtig.

Weiter gibt es Probleme bei Domaenenmigrationen (z.B. von NT4 auf Windows Server 2003).

Ein weiterer Punkt sind zentral verwaltete Virenscanner, diese nutzen fuer die Verteilung der Virenscanner-Engine/Pattern manchmal auch Domainadminkonten.

Kurz:

Bei einer Domaene sind die Gruppe der Domainadmins immer auch in der Gruppe der lokalen Admins auf den Clients. Dies ist eine gewollte Standardeinstellung. Das Hinzufuegen der Gruppe Domainadmins in die lokale Gruppe Administratoren erfolgt bei der Aufnahme eines Clients/Memberservers in eine Domaene.

Falls Dateien nicht eingesehen werden duerfen (z.B. Dateien aus der Personalabteilung, Finanzen, GF ...) dann diesen Zugriff per Dateisystemberechtigungen (NTFS) unterbinden.