Windows Server Windows Server 2008 R2 Administration Rights

50Streets

Nieuw lid
Goedenavond,

Ik zit met een administrator uitdaging.

Voorbeeld, ik heb een bedrijf met 10 afdelingen, elke afdeling heeft een eigen systeembeheerder. Ik wil deze centraliseren. Nu wil ik in mijn domain per afdeling een OU aanmaken met de naam van de afdeling. De users zitten met z'n allen in een Group genaamd User Accounts. 1 van die users is de huidige systeembeheerder van die afdeling. Hoe kan ik hem administrator rechten geven over alleen zijn afdeling OU en niet over alle andere? Hij mag dus wel objecten aanmaken in bijv. OU=Afdeling1 maar niet in OU=Afdeling2.

Bij voorbaat dank,

50Streets
 
G

Gollem

Guest
Simpel als je het weet :wink:

Per definitie heeft een domain user toegang tot alle OU's. Hij kan overal lezen.

Als je een OU gemaakt hebt voor afdeling 1, zou ik dus een domain local security group maken 'gedelegeerd beheer afdeling 1" en op de OU voor Afdeling 1 het recht om beheer uit te voeren toekennen aan deze groep.
Het account voor de verantwoordelijke beheerder maak je lid van deze groep.
Als er dan mensen verdwijnen of verschuiven, is het heel makkelijk om de rechten opnieuw te delegeren. Daarnaast is het mogelijk om iemand een delegatie over meerdere OU's te geven, simpel door hem lid te maken van meerdere delegatiegroepen.

Leesvoer!
 
Bovenaan Onderaan