Jump to content
Sign in to follow this  
Wolke2k4

Wie beschneide ich einen Administrator?

Recommended Posts

Hallo,

 

wer jetzt Tipps und Anregungen zur Beschneidung sucht ist hier leider fehl am Platz. ;)

 

Um Beschneidung im übertragenen Sinne geht es trotzdem.

 

Folgendes Problem:

 

1x W2K3 Domain mit zwei Admins. Der eine ist personell von seinem Adminposten degradiert worden, der andere "befördert". Kennwörter und der ganze Kram herum wurden angepasst/geändert

Das eigentliche Problem liegt im Detail. Der degradierte Admin muss zukünftig ein oder zwei Server administrieren, soll aber unter keinen Umständen anderweitig administrative Zugriff in der Domain erhalten.

 

Was könnte man für dieses Szenario als sinnvolle Lösung aus dem Boden stampfen? Gibt es die Möglichkeit ein Nutzeraccount so anzupassen, dass er volle administrative Rechte hat aber eben nur auf besagten Maschinen. Er könnte auch ruhig Domain Admin sein, solange er mit dem Konto nicht die Domain zerschießen könnte...

 

Ich hatte an zwei Möglichkeiten gedacht:

 

1. Lokaler Admin, wennd er Server kein DC ist. Hier ist die Frage, wie sich das mit den Anwendugen/Datenbanken auf dem Server verhält

2. Normaler Domain Benutzer mit Anpassung der lokalen Sicherheitsrichtlinien auf den betreffenden Servern. War nur ein Gedanke, den ich erstmal nicht weiter durchdacht habe.

 

Oder gibt es andere praktikabelere Lösungen?

 

Bin für jeden Tipp dankbar!

 

Gruß Wolke

Share this post


Link to post
Share on other sites

...

Das eigentliche Problem liegt im Detail. Der degradierte Admin muss zukünftig ein oder zwei Server administrieren, soll aber unter keinen Umständen anderweitig administrative Zugriff in der Domain erhalten.

 

Was könnte man für dieses Szenario als sinnvolle Lösung aus dem Boden stampfen? Gibt es die Möglichkeit ein Nutzeraccount so anzupassen, dass er volle administrative Rechte hat aber eben nur auf besagten Maschinen. Er könnte auch ruhig Domain Admin sein, solange er mit dem Konto nicht die Domain zerschießen könnte...

ADS zerschiessen - Dazu wäre der Schema Admin besser geeignet :)

 

ein Admin ist und bleibt ein Admin... das soll auch so sein.

Wonach Du suchst, ist die Delegation. Damit kannst du einem Normalbenutzer in der von Dir gewünschten Granularität erweiterte Rechte geben (ohne die Zerstörung des ADS befürchten zu müssen)

Share this post


Link to post
Share on other sites

OK danke für die Links und Hinweise!

 

Soweit ich das mitbekommen habe widmen sich diese hauptsächlich dem Szenario wenn es um die Administration des ADS geht.

Vom Prinzip her nicht ganz das was ich suche.

 

Wahrscheinlich wird es aber darauf hinauslaufen, dass es so wie bei einigen PCs gemacht wird, nämlich dem einfachen Domain Benutzer lokale Administratorrechte auf dem PC zu verpassen. Das sollte reichen um die lokal installieren Anwendungen zu administrieren aber nicht im ADS rumzuspielen.

Share this post


Link to post
Share on other sites

Halt,

 

was soll der Admin denn können? Nur lokal auf den Servern schrauben? Dann hilft die Delegation im AD nicht weiter. Du solltest dann tatsächlich dem "Unteradmin" nur in die lokalen Admins auf den beiden Servern aufnehmen. Im AD musst du nur an Rechten schrauben, wenn er z.B. noch DNS-Records o.ä. verwalten können soll.

 

Die lokalen Adminrechte kannst du übrigens mit hilfe von Restricted Groups auch per GPO verteilen.

 

Gruß

 

woiza

Share this post


Link to post
Share on other sites

Hmmmm

 

 

warum so kompliziert ??? aus meiner Sicht.

 

1 Administrator Konto kopieren :D

 

2 Administrator in Admin oder ähnlich umbenennen und kastrieren :jau:

 

3 Original PW von Administrator umbenennen ;)

 

ich würde das so machen.

 

Gruß

 

 

Joe

Share this post


Link to post
Share on other sites

Ich denke schon, dass die Variante mit dem lokalen Adminrechten die beste ist. So kann der Nutzeraccount bspw. den SQL Server administrieren und lokale Anwendungen installieren aber domainseitig keine Änderungen vornehmen.

 

Das andere "Gewurschtel" ist nicht notwendig, da er in das ADS nicht eingreifen muss...

Share this post


Link to post
Share on other sites
Hmmmm

 

 

warum so kompliziert ??? aus meiner Sicht.

 

1 Administrator Konto kopieren :D

 

2 Administrator in Admin oder ähnlich umbenennen und kastrieren :jau:

 

3 Original PW von Administrator umbenennen ;)

 

ich würde das so machen.

 

Gruß

 

 

Joe

 

Warum denn den Admin erst kopieren und dann beschneiden? Nimm nen normalen User und geb ihm die benötigten Rechte.

Share this post


Link to post
Share on other sites

Hi,

 

ich würde zuerst einmal feststellen was der Admin genau auf den Maschinen tun muss. Danach würde ich schauen welche (lokale) Benutzergruppe dafür am besten geeignet ist. Je nach Aufgabenstellung reichen z. B. auch Hauptbenutzer Rechte.

 

Die Zuweisung dieser lokalen Rechte würde ich auf jeden Fall über GPO's verwalten. Alles andere macht ein Netzwerk nur unübersichtlich und die Wartung sehr schwer.

 

Domainen weite Rechte würde ich dem Admin auf keinen Fall geben. Das wiederspricht dem Prinzip der minimalen Rechte ;-)

 

Wenn du zudem verhindern willst, dass der User zu viel im AD sehen kann, dann solltest du dir zusätzlich noch die Software Restriction Policies anschauen und dort z. B. das Admin Pack bzw. dessen mmc's mit aufnehmen.

 

Gruß

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...