Zum Inhalt wechseln


Foto

Wie beschneide ich einen Administrator?


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 Wolke2k4

Wolke2k4

    Board Veteran

  • 2.109 Beiträge

 

Geschrieben 12. Juni 2007 - 10:35

Hallo,

wer jetzt Tipps und Anregungen zur Beschneidung sucht ist hier leider fehl am Platz. ;)

Um Beschneidung im übertragenen Sinne geht es trotzdem.

Folgendes Problem:

1x W2K3 Domain mit zwei Admins. Der eine ist personell von seinem Adminposten degradiert worden, der andere "befördert". Kennwörter und der ganze Kram herum wurden angepasst/geändert
Das eigentliche Problem liegt im Detail. Der degradierte Admin muss zukünftig ein oder zwei Server administrieren, soll aber unter keinen Umständen anderweitig administrative Zugriff in der Domain erhalten.

Was könnte man für dieses Szenario als sinnvolle Lösung aus dem Boden stampfen? Gibt es die Möglichkeit ein Nutzeraccount so anzupassen, dass er volle administrative Rechte hat aber eben nur auf besagten Maschinen. Er könnte auch ruhig Domain Admin sein, solange er mit dem Konto nicht die Domain zerschießen könnte...

Ich hatte an zwei Möglichkeiten gedacht:

1. Lokaler Admin, wennd er Server kein DC ist. Hier ist die Frage, wie sich das mit den Anwendugen/Datenbanken auf dem Server verhält
2. Normaler Domain Benutzer mit Anpassung der lokalen Sicherheitsrichtlinien auf den betreffenden Servern. War nur ein Gedanke, den ich erstmal nicht weiter durchdacht habe.

Oder gibt es andere praktikabelere Lösungen?

Bin für jeden Tipp dankbar!

Gruß Wolke
most valuable workaround by Mircosoft:

WORKAROUND
To work around this issue, ignore this error event.

#2 deubi

deubi

    Expert Member

  • 1.693 Beiträge

 

Geschrieben 12. Juni 2007 - 10:41

...
Das eigentliche Problem liegt im Detail. Der degradierte Admin muss zukünftig ein oder zwei Server administrieren, soll aber unter keinen Umständen anderweitig administrative Zugriff in der Domain erhalten.

Was könnte man für dieses Szenario als sinnvolle Lösung aus dem Boden stampfen? Gibt es die Möglichkeit ein Nutzeraccount so anzupassen, dass er volle administrative Rechte hat aber eben nur auf besagten Maschinen. Er könnte auch ruhig Domain Admin sein, solange er mit dem Konto nicht die Domain zerschießen könnte...

ADS zerschiessen - Dazu wäre der Schema Admin besser geeignet :)

ein Admin ist und bleibt ein Admin... das soll auch so sein.
Wonach Du suchst, ist die Delegation. Damit kannst du einem Normalbenutzer in der von Dir gewünschten Granularität erweiterte Rechte geben (ohne die Zerstörung des ADS befürchten zu müssen)
Gruss, Robert
Systems Engineer 2 / DBA
MCDBA/-SE/-SA/-P, Lehrmeister, NLP Practitioner IANLP, Papi,
eidg. dipl. Informatiker 'Business Solutions'

Es gibt soviele Perspektiven der Realität wie Individuen


#3 Wolke2k4

Wolke2k4

    Board Veteran

  • 2.109 Beiträge

 

Geschrieben 12. Juni 2007 - 11:56

Hast Du einen Link oder sonstige Quellen für dieses Thema?
most valuable workaround by Mircosoft:

WORKAROUND
To work around this issue, ignore this error event.

#4 ziggyonline

ziggyonline

    Gratulant

  • 350 Beiträge

 

Geschrieben 12. Juni 2007 - 12:09

Jo - wäre auch mein Tip mit der Objektverwaltung:
Hier kann man explizit den einzelnen usern/admins die Berechtigungen für versch. Aufgaben verteilen.

Objektverwaltung zuweisen - Delegation von Aufgaben

und

Verwenden des Assistenten zum Zuweisen der Objektverwaltung in Active Directory unter Windows Server 2003
MCP, MCSA 2003+M, MCSE 2003, HWK certified network technican
passed: 70-270 / 70-290 / 70-291 / 70-293 / 70-294 / 70-284 / 70-298
Next: 70-350

#5 Wolke2k4

Wolke2k4

    Board Veteran

  • 2.109 Beiträge

 

Geschrieben 12. Juni 2007 - 13:51

OK danke für die Links und Hinweise!

Soweit ich das mitbekommen habe widmen sich diese hauptsächlich dem Szenario wenn es um die Administration des ADS geht.
Vom Prinzip her nicht ganz das was ich suche.

Wahrscheinlich wird es aber darauf hinauslaufen, dass es so wie bei einigen PCs gemacht wird, nämlich dem einfachen Domain Benutzer lokale Administratorrechte auf dem PC zu verpassen. Das sollte reichen um die lokal installieren Anwendungen zu administrieren aber nicht im ADS rumzuspielen.
most valuable workaround by Mircosoft:

WORKAROUND
To work around this issue, ignore this error event.

#6 ziggyonline

ziggyonline

    Gratulant

  • 350 Beiträge

 

Geschrieben 12. Juni 2007 - 13:55

so - oder
Script makemeadmin.cmd benutzen im "normalen" Benutzerkontext
MCP, MCSA 2003+M, MCSE 2003, HWK certified network technican
passed: 70-270 / 70-290 / 70-291 / 70-293 / 70-294 / 70-284 / 70-298
Next: 70-350

#7 ziggyonline

ziggyonline

    Gratulant

  • 350 Beiträge

 

Geschrieben 12. Juni 2007 - 13:58

Nachtrag:
zu finden hier:

Aaron Margosis' "Non-Admin" WebLog : MakeMeAdmin -- temporary admin for your Limited User account
MCP, MCSA 2003+M, MCSE 2003, HWK certified network technican
passed: 70-270 / 70-290 / 70-291 / 70-293 / 70-294 / 70-284 / 70-298
Next: 70-350

#8 woiza

woiza

    Board Veteran

  • 2.063 Beiträge

 

Geschrieben 12. Juni 2007 - 13:59

Halt,

was soll der Admin denn können? Nur lokal auf den Servern schrauben? Dann hilft die Delegation im AD nicht weiter. Du solltest dann tatsächlich dem "Unteradmin" nur in die lokalen Admins auf den beiden Servern aufnehmen. Im AD musst du nur an Rechten schrauben, wenn er z.B. noch DNS-Records o.ä. verwalten können soll.

Die lokalen Adminrechte kannst du übrigens mit hilfe von Restricted Groups auch per GPO verteilen.

Gruß

woiza

#9 Stargate1

Stargate1

    Member

  • 197 Beiträge

 

Geschrieben 13. Juni 2007 - 17:18

Hmmmm


warum so kompliziert ??? aus meiner Sicht.

1 Administrator Konto kopieren :D

2 Administrator in Admin oder ähnlich umbenennen und kastrieren :jau:

3 Original PW von Administrator umbenennen ;)

ich würde das so machen.

Gruß


Joe

#10 Wolke2k4

Wolke2k4

    Board Veteran

  • 2.109 Beiträge

 

Geschrieben 13. Juni 2007 - 17:29

Ich denke schon, dass die Variante mit dem lokalen Adminrechten die beste ist. So kann der Nutzeraccount bspw. den SQL Server administrieren und lokale Anwendungen installieren aber domainseitig keine Änderungen vornehmen.

Das andere "Gewurschtel" ist nicht notwendig, da er in das ADS nicht eingreifen muss...
most valuable workaround by Mircosoft:

WORKAROUND
To work around this issue, ignore this error event.

#11 woiza

woiza

    Board Veteran

  • 2.063 Beiträge

 

Geschrieben 13. Juni 2007 - 18:54

Hmmmm


warum so kompliziert ??? aus meiner Sicht.

1 Administrator Konto kopieren :D

2 Administrator in Admin oder ähnlich umbenennen und kastrieren :jau:

3 Original PW von Administrator umbenennen ;)

ich würde das so machen.

Gruß


Joe


Warum denn den Admin erst kopieren und dann beschneiden? Nimm nen normalen User und geb ihm die benötigten Rechte.

#12 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 14. Juni 2007 - 08:44

Hi,

ich würde zuerst einmal feststellen was der Admin genau auf den Maschinen tun muss. Danach würde ich schauen welche (lokale) Benutzergruppe dafür am besten geeignet ist. Je nach Aufgabenstellung reichen z. B. auch Hauptbenutzer Rechte.

Die Zuweisung dieser lokalen Rechte würde ich auf jeden Fall über GPO's verwalten. Alles andere macht ein Netzwerk nur unübersichtlich und die Wartung sehr schwer.

Domainen weite Rechte würde ich dem Admin auf keinen Fall geben. Das wiederspricht dem Prinzip der minimalen Rechte ;-)

Wenn du zudem verhindern willst, dass der User zu viel im AD sehen kann, dann solltest du dir zusätzlich noch die Software Restriction Policies anschauen und dort z. B. das Admin Pack bzw. dessen mmc's mit aufnehmen.

Gruß

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!