Jump to content

Wie beschneide ich einen Administrator?

Wolke2k4

Von Wolke2k4
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wolke2k4 Veteran

Wolke2k4   11

Geschrieben
Geschrieben

Hallo,

 

wer jetzt Tipps und Anregungen zur Beschneidung sucht ist hier leider fehl am Platz. ;)

 

Um Beschneidung im übertragenen Sinne geht es trotzdem.

 

Folgendes Problem:

 

1x W2K3 Domain mit zwei Admins. Der eine ist personell von seinem Adminposten degradiert worden, der andere "befördert". Kennwörter und der ganze Kram herum wurden angepasst/geändert

Das eigentliche Problem liegt im Detail. Der degradierte Admin muss zukünftig ein oder zwei Server administrieren, soll aber unter keinen Umständen anderweitig administrative Zugriff in der Domain erhalten.

 

Was könnte man für dieses Szenario als sinnvolle Lösung aus dem Boden stampfen? Gibt es die Möglichkeit ein Nutzeraccount so anzupassen, dass er volle administrative Rechte hat aber eben nur auf besagten Maschinen. Er könnte auch ruhig Domain Admin sein, solange er mit dem Konto nicht die Domain zerschießen könnte...

 

Ich hatte an zwei Möglichkeiten gedacht:

 

1. Lokaler Admin, wennd er Server kein DC ist. Hier ist die Frage, wie sich das mit den Anwendugen/Datenbanken auf dem Server verhält

2. Normaler Domain Benutzer mit Anpassung der lokalen Sicherheitsrichtlinien auf den betreffenden Servern. War nur ein Gedanke, den ich erstmal nicht weiter durchdacht habe.

 

Oder gibt es andere praktikabelere Lösungen?

 

Bin für jeden Tipp dankbar!

 

Gruß Wolke

Link zu diesem Kommentar
deubi Mentor

deubi   10

Geschrieben
Geschrieben

...

Das eigentliche Problem liegt im Detail. Der degradierte Admin muss zukünftig ein oder zwei Server administrieren, soll aber unter keinen Umständen anderweitig administrative Zugriff in der Domain erhalten.

 

Was könnte man für dieses Szenario als sinnvolle Lösung aus dem Boden stampfen? Gibt es die Möglichkeit ein Nutzeraccount so anzupassen, dass er volle administrative Rechte hat aber eben nur auf besagten Maschinen. Er könnte auch ruhig Domain Admin sein, solange er mit dem Konto nicht die Domain zerschießen könnte...

ADS zerschiessen - Dazu wäre der Schema Admin besser geeignet :)

 

ein Admin ist und bleibt ein Admin... das soll auch so sein.

Wonach Du suchst, ist die Delegation. Damit kannst du einem Normalbenutzer in der von Dir gewünschten Granularität erweiterte Rechte geben (ohne die Zerstörung des ADS befürchten zu müssen)

Link zu diesem Kommentar
Wolke2k4 Veteran

Wolke2k4   11

Geschrieben
  • Autor
Geschrieben

OK danke für die Links und Hinweise!

 

Soweit ich das mitbekommen habe widmen sich diese hauptsächlich dem Szenario wenn es um die Administration des ADS geht.

Vom Prinzip her nicht ganz das was ich suche.

 

Wahrscheinlich wird es aber darauf hinauslaufen, dass es so wie bei einigen PCs gemacht wird, nämlich dem einfachen Domain Benutzer lokale Administratorrechte auf dem PC zu verpassen. Das sollte reichen um die lokal installieren Anwendungen zu administrieren aber nicht im ADS rumzuspielen.

Link zu diesem Kommentar
woiza Veteran

woiza   10

Geschrieben
Geschrieben

Halt,

 

was soll der Admin denn können? Nur lokal auf den Servern schrauben? Dann hilft die Delegation im AD nicht weiter. Du solltest dann tatsächlich dem "Unteradmin" nur in die lokalen Admins auf den beiden Servern aufnehmen. Im AD musst du nur an Rechten schrauben, wenn er z.B. noch DNS-Records o.ä. verwalten können soll.

 

Die lokalen Adminrechte kannst du übrigens mit hilfe von Restricted Groups auch per GPO verteilen.

 

Gruß

 

woiza

Link zu diesem Kommentar
woiza Veteran

woiza   10

Geschrieben
Geschrieben
Hmmmm

 

 

warum so kompliziert ??? aus meiner Sicht.

 

1 Administrator Konto kopieren :D

 

2 Administrator in Admin oder ähnlich umbenennen und kastrieren :jau:

 

3 Original PW von Administrator umbenennen ;)

 

ich würde das so machen.

 

Gruß

 

 

Joe

 

Warum denn den Admin erst kopieren und dann beschneiden? Nimm nen normalen User und geb ihm die benötigten Rechte.

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

ich würde zuerst einmal feststellen was der Admin genau auf den Maschinen tun muss. Danach würde ich schauen welche (lokale) Benutzergruppe dafür am besten geeignet ist. Je nach Aufgabenstellung reichen z. B. auch Hauptbenutzer Rechte.

 

Die Zuweisung dieser lokalen Rechte würde ich auf jeden Fall über GPO's verwalten. Alles andere macht ein Netzwerk nur unübersichtlich und die Wartung sehr schwer.

 

Domainen weite Rechte würde ich dem Admin auf keinen Fall geben. Das wiederspricht dem Prinzip der minimalen Rechte ;-)

 

Wenn du zudem verhindern willst, dass der User zu viel im AD sehen kann, dann solltest du dir zusätzlich noch die Software Restriction Policies anschauen und dort z. B. das Admin Pack bzw. dessen mmc's mit aufnehmen.

 

Gruß

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...