Enterprise Admin keine Rechte auf lokalen Subdomain Mitgliedsservern

[flooo]

Hallo,

folgendes Problem. Wir sind Mitglied der Enterprise Gruppe in der Rootdomain. Wenn wir uns jedoch auf Mitgliedsservern einer der Subdomains einloggen, fehlt uns da jegliche administrative Berechtigung. Wie kann das sein? Normalerweise sollte doch der Enterprise Admins Kontrolle über alles haben?

[NilsK]

Moin,

die Rolle Enterprise Admin ist zunächst einmal für die Verwaltung des AD-Forest gedacht. Je nach Umgebung kann die Mitgliedschaft dieser Gruppe in den domänenlokalen Gruppen durchaus eingeschränkt sein, ebenso können die Berechtigungen der Gruppe eingeschränkt werden (dabei sollte man aber wissen, was man tut). Es ist also kein "Gott-Modus", dort Mitglied zu sein.

Die administrativen Rechte auf Domänenrechnern werden standardmäßig über die Globale Gruppe "Domänen-Admins" verwaltet, die bei der Domänenaufnahme in die lokale Admingruppe jedes Rechners aufgenommen wird. Da eine Globale Gruppe nur Mitglieder aus derselben Domäne haben kann, sind die Enterprise Admins nicht dabei und können in Subdomänen auch nicht eingefügt werden.

Gruß, Nils

[flooo]

Hallo Nils,

gibt es irgendeine andere Möglichkeit das Problem zu lösen ?

[NilsK]

Moin,

wenn du dein Problem mal beschreibst - was hast du denn eigentlich vor? - sicher.

Gruß, Nils

[flooo]

Hallo,

wir haben diverse Subdomänen für unsere Geschäftsstellen. Wir (also die Admins im HQ und damit auch Admins der Hauptdomäne und des Forests) müssen gelegentlich auf Mitgliedsservern der Subdomänen bei Problemen administrativ aktiv werden. Wir haben in den Geschäftsstellen/Subdomänen auch Admins, die auch in der "Domain Admins-Gruppe" der Subdomänen sind und sich dort eigentlich um die Server kümmern. Nur haben wir im HQ keinen administrativen Rechte auf den Mitgliedsservern (aber auch Workstations) der Subdomänen. Das ist auch schon das Problem. Ich könnte mir vorstellen, dass das mit der Erstellung von ein paar Universal Groups/Global Groups eventuell zu lösen wäre, nur wie ?

[flooo]

Hallo,

existiert für das Problem kein Lösungsansatz, d.h. ist es wirklich erforderlich in der entsprechenden Subdomain sich einen eigenen Account anzulegen ? (So habe ich es im Moment gelöst)

[olc]

Hallo,

Zitat von flooo Wir (also die Admins im HQ und damit auch Admins der Hauptdomäne und des Forests) müssen gelegentlich auf Mitgliedsservern der Subdomänen bei Problemen administrativ aktiv werden.

Wenn alle Administratoren der Root-Domäne bzw. HQ-Domäne z.B. in einer Globalen Gruppe Mitglied sind, kannst Du diese Gruppe beispielsweise zum Mitglied der lokalen Administratoren der Zieldomänen machen. Dies ist standardmäßig zwangsweise der Fall, da die Gruppe "Domain Admins" eine Globale Gruppe ist.

Hierzu eignen sich beispielsweise "Eingeschränkte Gruppen" (siehe Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de oder Restricted Groups Policy Settings: Security Policy) oder einfache Computer Startup Scripts mit dem Aufruf von "net localgroup".

Die Frage ist, ob das Sicherheitstechnisch wirklich gewünscht ist. Das müßt Ihr intern entscheiden. In einigen Umgebungen ist das explizit nicht gewünscht - nur können sich die "Enterprise Admins" immer jedes Recht verschaffen. Von daher ist es also eine Frage der Abwägung.

Zitat von flooo Wir haben in den Geschäftsstellen/Subdomänen auch Admins, die auch in der "Domain Admins-Gruppe" der Subdomänen sind und sich dort eigentlich um die Server kümmern.

Je nach Aufgabenbereich, der von den lokalen Administratoren übernommen wird, könntet Ihr Euch hier noch eine Einschränkung der Rechte überlegen: Sollte es tatsächlich "nur" um Serververwaltung geben, reichen meist "Server Operatoren" oder "Backup Operatoren" Rechte. Wenn dann zusätzlich noch AD-administrative Aufgaben durchgeführt werden sollen, reicht vielleicht eine Delegierung der Rechte aus und erfordert nicht die Zuweisung von Domänen-Admin Rechten. Aber auch hier gilt es abzuwägen und die Voraussetzungen zu prüfen.

Viele Grüße
olc