BigRalf3344

vor 1 Minute schrieb tesso:

Da habe ich nichts aufs Datum geschaut. Nur auf deinen Kommentar, der wenige MInuten alt war.

Ein Domainadmin bleibt ein Domainadmin. Was denskt du, wer die Silos verwaltet?

Nur die berechtigten Konten, lies evtl. in ruhe meine Erläuterungen dazu nochmal durch.

vor 2 Minuten schrieb tesso:

Wenn du es weisst warum fragst du dann?

Authentication Silos wurden erst mit 2012R2 eingeführt. Du schreibst aber 2012 Domäne, das ist ein Unterschied.

Wenn du schon den MS hast hast, lies ihn bitte auch bis zum Ende. Dann siehst du auch, wen und was du dort einschränken kannst.

wie du evtl. vom datum meiner frage siehst war das 2017 und jetzt ist es 2019  mein lieber. vielleicht habe ich es damals nicht gewusst und weiss es nun besser und teile mein wissen?

Ihr habt alle nur BS geschrieben. Es geht aus Prinzip nicht? Von welchem Prinzip schreibst du?

Richtige Antwort? Natürlich geht das mit einer Authentifizierungsrichtlinie und einem Authentifizierungsrichtliniensilo das eingerichtet werden muss!!
 

Erläuterungen:

Authentifizierungsrichtliniensilos und die zugehörigen Richtlinien stellen eine Möglichkeit dar, Anmeldeinformationen mit erhöhten Rechten auf Systeme zu beschränken, die nur für ausgewählte Benutzer, Computer oder Dienste relevant sind. Silos können mit dem Active Directory-Verwaltungscenter und den Active Directory Windows PowerShell-Cmdlets in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) definiert und verwaltet werden.
 

Authentifizierungsrichtliniensilos sind Container, denen Administratoren Benutzerkonten, Computerkonten und Dienstkonten zuweisen können. Über die Authentifizierungsrichtlinien, die auf diesen Container angewendet werden, können dann Gruppen von Konten verwaltet werden. Daher muss der Administrator nicht mehr im gleichen Umfang wie bisher den Ressourcenzugriff einzelner Konten verfolgen, und es wird verhindert, dass böswillige Benutzer durch den Diebstahl von Anmeldeinformationen Zugriff auf andere Ressourcen erlangen.
 

Mit Funktionen, die in Windows Server 2012 R2 eingeführt wurden, können Sie Authentifizierungsrichtliniensilos erstellen, die eine Gruppe von Benutzern mit erhöhten Rechten beherbergen. Sie können diesem Container Authentifizierungsrichtlinien zuordnen, um die Verwendung privilegierter Konten in der Domäne zu begrenzen. Wenn Konten zur Sicherheitsgruppe "Geschützte Benutzer" gehören, werden zusätzliche Kontrollmechanismen angewendet, z. B. die exklusive Verwendung des Kerberos-Protokolls.
 

Damit können Sie die Nutzung hochwertiger Konten auf hochwertige Hosts begrenzen. Beispielsweise könnten Sie ein neues Silo für Administratoren der Gesamtstruktur erstellen, das Unternehmens-, Schema- und Domänenadministratoren enthält. Anschließend könnten Sie das Silo mit einer Authentifizierungsrichtlinie konfigurieren, sodass eine kennwort- und smartcard-basierte Authentifizierung von Systemen, die keine Domänencontroller oder Domänenadministratorkonsolen sind, fehlschlägt.

Am 12.12.2017 um 17:37 schrieb NilsK:

Moin,

 

die kurze Antwort ist: Geht nicht. Prinzipbedingt.

 

Gruß, Nils

Prinzipbedingt nicht? Was den für ein Prinzip? Nils du enttäuschst mich sehr!

Am 12.12.2017 um 13:19 schrieb zahni:

Hallo  und willkommen im Forum.

 

Ein Domain-Admin hat alle Rechte  oder kann sie sich verschaffen.

Geht also nicht.

 

-Zahni

Zahni deine Antwort ist total falsch. Wie soll der sich die Rechte "verschaffen" wenn er keine Rechte dazu hat?

Hi Fans

Das wäre meine Frage:

Domänen-Admins daran hindern sich an bestimmten DomainControllern anzumelden.

Windows 2012 Domäne, wie könnte man das am elegantesten umsetzen? Es darf natürlich nicht in Arbeit ausarten 

Danke und Herzliche Grüsse
Ralf