Administrator berechtigt zu Active Directory und Benutzer

**e2e4** · 08.08.2005, 07:57

Salut,

ich dachte immer, dass nur "Dom.-Admins" berechtigt sind die Konsole "Active Directory und Benutzer" aufzurufen. Gerade probiert ein eingerichteter User (Gruppen: Administratoren, Dom.-Benutzer) kann via dsa.msc auf o.g. Snap-In zugreifen.

Ist der User, der in Gruppe der (lokalen) Admins ist schon immer dazu berechtigt gewesen?

Grüße, e2e4

**linux-luder** · 08.08.2005, 09:29

-der lokale Adminstrator kann das Ding natuerlich aufrufen, jedoch sollte eine Connection zum Domain-Controller scheitern
-im bloedesten Fall haben beide Systeme dieselbe User/PW-Kombination, aber so doof wird doch keiner sein oder?

**e2e4** · 08.08.2005, 09:54

-der lokale Adminstrator kann das Ding natuerlich aufrufen, jedoch sollte eine Connection zum Domain-Controller scheitern

... und das tut es überraschenderweise nicht - habe soeben nochmal einen User mit Admin-Rechten (kein Dom.Admin) angelegt und eingewählt und klappt.

-im bloedesten Fall haben beide Systeme dieselbe User/PW-Kombination, aber so doof wird doch keiner sein oder?

nee, das ist nicht das "Problem"

Grüße, e2e4

**memnon** · 08.08.2005, 14:48

...

ups ne, blödsinn....

türlich kann er, er kann nur zb keine child domainen löschen und er hat auch nicht VOLLEN zugriff

**e2e4** · 09.08.2005, 08:33

türlich kann er, er kann nur zb keine child domainen löschen und er hat auch nicht VOLLEN zugriff

Hmmm, habe jetzt mal in die Gruppenbeschreibung reingesehen (also die noch "Original" drinsteht

):

Administratoren haben uneingeschränkten Vollzugriff auf den Computer bzw. die Domäne.

Das sollte erstmal mehr oder weniger meine Frage beantworten.

Grüße, e2e4

**memnon** · 11.08.2005, 09:59

stimmt allerdings nicht ganz die aussage, denn ein Administrator hat NICHT die Rechte eines Enterprise Admins, es gibt sher viele funktionen, die dem Administrator im AD verwehrt sind

**e2e4** · 11.08.2005, 11:01

Okay, habe das Thema nicht nochmal weiterverfolgt. Ein Link oder Übersicht was der "Administrator" im AD kann und was nicht haste nicht zufällig parat?

Grüße, e2e4

**memnon** · 11.08.2005, 11:06

tut mir leid, aber du kannst dir die rechte im ad ja auch selber ansehen, da siehst du zb das wenn du auf deine domaine klickst, der administrator account keine child domaine löschen kann, gleichzeitig hat er auch nicht full control über die domaine

du kannst dir aber die berechtigungen, die der administrator über die gesammte domaine hat über effective rights

**linux-luder** · 11.08.2005, 11:10

"Administratoren haben uneingeschränkten Vollzugriff auf den Computer bzw. die Domäne."

==> das kann einfach nicht fuer den lokalen Adminstrator eines einfachen Domaenen-PC's zutreffen
(oder Du hast Dir da ein schwerwiegendes Problem eingebrockt)

**memnon** · 11.08.2005, 11:25

@linux luder - sieh dir doch mal die berechtigung auf einem w2003 domain controler an

wenn deine domain zb server heisst, hast du eine builtin gruppe server\administrators, diese gruppe server\administrators hat definitiv zugriff auf das ad, du brauchst dir nur die rechte im ad ankucken (domain anwählen, rechte maustaste security - dort steht die gruppe server\administrators mit bestimmten rechten drinnen)

btw was meinst du im moment mit lokalen administratoren eines domainen pcs ?

ach nu weiss ich was er meinte