Jump to content

Anmelden an DC ohne Mitgliedschaft bei DomänenAdmins


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Mir ist die Aufgabe gestellt worden herauszufinden, wie und ob es möglich ist sich an einem DC (Lokal und über RDP) anzumelden, ohne Mitglied der Gruppe "Domänen-Administratoren" zu sein.

 

Hintergrund: Unserem Abteilungsleiter ist der "Domänen-Admin" zu mächtig und er möchte diesem nicht jedem geben. Nun ist es für manche Sachen (Serverwartung usw.) aber notwendig sich auf einen DC anzumelden.

 

Ihm über die "Default Domaincontroller Policy" bzw. einer zusätzlichen GPO das Recht zu geben sich anzumelden (Remote und Lokal) reicht nicht, oder mache ich da was falsch?

 

Hat jemand das schonmal gemacht?

Link zu diesem Kommentar

Das lokale Recht definierst du über Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisung von Benutzerrechten -> Lokal anmelden zulassen

 

Standardmäßig sind auf einem DC folgende Gruppen eingetragen:

Konten-Operatoren

Administratoren

Sicherungs-Operatoren

Druck-Operatoren

Server-Operatoren.

 

Unter Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisung von Benutzerrechten -> Anmelden über Terminaldienste zulassen kannst du Gruppen definieren, die sich per RDP anmelden können. Standardmäßig sind Administratoren schon drin.

 

Definiere mal Serverwartung etwas genauer. Vieles kann man auch über MMCs abfeuern, ohne das sich User an einem DC anmelden müssen.

Siehe auch Objektverwaltung zuweisen - Delegation von Aufgaben

Link zu diesem Kommentar

komisch, genau da hab ich eigentlich die "abgespeckte" Admingruppe eingetragen, dann muss da wohl noch was nicht ganz in Ordnung sein...

 

Das vieles über MMC abzufangen ist ist mir klar, teilweise gings meinem Chef auch ums Prinzip.

 

Ich werde jetzt erstmal die entsprechende GPO prüfen, dann mal sehen, wird wohl dann doch irgendwo ein "Häckchen" fehlen ;)

Link zu diesem Kommentar

Für eine Remotedessktopanmeldung an einem DC benötigt man 3 Sachen:

 

1.) Remote Desktop aktiviert

2.) Benutzer/Gruppe muss Mitglied der Gruppe RemoteDesktop.Benutzer sein (im AD im Container BuiltIn)

3.)Benutzer/Gruppe muss auf dem DC bzw. den DCs über eine Gruppenrichtline (lokal, oder besser: GPO auf Domain Controller OU) das Benutzerrecht haben, sich über Terminaldienste anzumelden

 

Das Recht der lokalen Anmeldung braucht man überhaupt nicht!!(ausgehend von 2003, wie so oft hier im Board wieder mal überhuapt nichts über OS und SP usw. angegeben :cry: :cry: )

 

grizzly999

Link zu diesem Kommentar

Es ist Win2k3 mit SP2.

 

@ grizzly999:

 

Um über Terminaldienste anzumelden brauch ich nicht das Recht "Lokal Anmelden", aber ich möchte ja, dass sich diese Gruppe remote und lokal anmelden können.

 

1.) Remote Desktop aktiviert

ist aktiviert, ich komm ja auch als DomänenAdmin drauf (Oder gibts da eine mir noch unbekannte Einstellung)

 

2.) Benutzer/Gruppe muss Mitglied der Gruppe RemoteDesktop.Benutzer sein (im AD im Container BuiltIn)

Die abgespeckte Admingruppe ist Mitglied in dieser Gruppe

 

3.)Benutzer/Gruppe muss auf dem DC bzw. den DCs über eine Gruppenrichtline (lokal, oder besser: GPO auf Domain Controller OU) das Benutzerrecht haben, sich über Terminaldienste anzumelden

Ich habs echt mehrmals nachgeprüft (Gruppenrichtlinienmodelierung), die Gruppe steht definitiv drin und es wird ihr das Recht auch nicht verweigert.

 

ABER:

Es kommt immer die Meldung, ich benötige Administratorrechte um mich am Server (DC) anmelden zu können. Nur eine lokale Admingruppe gibt es doch auf DC's nicht mehr, oder?

 

Sobald ich ihn in "DomänenAdmins" reinschiebe gehts. Aber gerade das will mein Chef ja nicht.

 

 

Grizzly, danke für deinen Hinweis mit dem fehlenden OS-Angaben, ich hoffe ich werde mich bessern (Ist mir ja leider nicht zum ersten mal passiert). Das es nervt kann ich mir gut vorstellen, bzw. geht mir ja genauso.

Link zu diesem Kommentar

In der lokalen Richtlinie zu erstellen, bringt nicht viel, da in der Default Domain Controllers Policy die Benutzerrechte wieder überschrieben werden (das gilt für Lokal Anmelden zulassen). Das Benutzerrecht zum Anmelden über Terminaldienste wird dagegen in der loaklen Richtlinie des DCs definiert. Daher solltest Du Dir ein neues GPO erzeugen, alle notwendigen Einstellungen der Benutzerrechte vornehmen, in den Domain Controllers Container linken und höher als die Default Policy schieben. Dann ein GPUDATE und erneut probieren ...

Link zu diesem Kommentar

Ich hab mich nach dem Wochende nochmal mit meiner DC-Anmeldung beschäftigt.

 

Ich habe es mit Gruppenrichtlinienmodellierung und den Gruppenrichtlinienergebnisse überprüft. Meine abgespeckte Admingruppe bekommt die Rechte sich anzumelden lokal wie auch über Terminaldienste per GPO zugewiesen.

Ich hab einen Benutzer erstellt, der nur Mitglied in dieser Gruppe ist und ihm wird auch das Recht anzumelden nicht verweigert (überprüft über Gruppenrichtlinienmodelierung).

 

Jedesmal wenn ich mich mit diesem Benutzer anmelde, kommt die Meldung:

"Sie benötigen Administratorrechte um sich anmelden zu können"

Wenn ich ihn aus der abgespeckten Admingruppe rausnehme, kommt die gleiche Meldung.

 

Mittlerweile dämmerts mir im Hinterkopf, dass sich an einem DC wirklich nur Domänenadmins anmelden können, da es auf einem DC ja keine lokale Benutzerdatenbank (Stichwort lokaler Admin) gibt, oder?

Kann mir das jemand bestätigen, ich bin mir da nicht sicher, aber möchte auch nicht unnötig Zeit verschwenden nach einer Lösung zu suchen die es womöglich nicht gibt.

 

Das meiste läßt sich ja sowieso über MMC und Delegieren erledigen (wie ja auch schon ducke geschrieben hat).

Link zu diesem Kommentar

Jedesmal wenn ich mich mit diesem Benutzer anmelde, kommt die Meldung:

Wo und wie anmelden? Lokal am DC?

 

"Sie benötigen Administratorrechte um sich anmelden zu können"

Ich kenne diese Fehlermeldung jetzt nicht (oder kann mich daran nicht errinnern.

Heißt die genau so? Wann, wo kommt die?

 

Mittlerweile dämmerts mir im Hinterkopf, dass sich an einem DC wirklich nur Domänenadmins anmelden können, da es auf einem DC ja keine lokale Benutzerdatenbank (Stichwort lokaler Admin) gibt, oder?

Es gibt keine lokale SAM, aber es gibt im AD die domänen-lokale Gruppe der Administratoren, die nur auf DCs relevant ist.

 

 

grizzly999

Link zu diesem Kommentar

@ grizzly999:

 

Wo und wie anmelden? Lokal am DC?

Ich möchte mich an einem DC mit Win2k3 SP2 anmelden ohne in der Gruppe "Domadmin" zu sein. Sowohl Remote als auch lokal.

Bis jetzt habe ich nicht geschafft mich Remote anzumelden (Was ja auch wichtiger wäre, wer will schon dauernd in den Serverraum laufen?).

 

Ich kenne diese Fehlermeldung jetzt nicht (oder kann mich daran nicht errinnern.

Heißt die genau so? Wann, wo kommt die?

Die Fehlermeldung lautet exakt so:

Sie müssen über Administratorrechte verfügen, um sich an der REmotekonsolensitzung anmelden zu können.

 

Die Meldung poppt nach der Benutzerauthentisierung auf. Klickt man auf ok, ist man wieder beim Anmeldedialog.

 

Es gibt keine lokale SAM, aber es gibt im AD die domänen-lokale Gruppe der Administratoren, die nur auf DCs relevant ist.

 

Das mit der Datenkbank wußte ich, daher kam mir dann auch der Gedanke, dass es evtl. gar nicht möglich ist, dem User lokale Adminrechte für einen DC zu geben.

Was unterscheidet die Administratoren (Die DL-Gruppe) nun von der Gruppe der Domänenadministratoren?

 

Was ich herausfinden konnte hat die DL-Gruppe "Administratoren" das Recht Objekte im AD zu erstellen zu ändern und zu löschen, mit einer Ausnahme, er kann keine bestehenden GPOs editieren oder löschen (aus dem AD). Neue verknüpfungen hinzufügen und bestehende verknüpfungen löschen kann aber aber bei GPOs.

 

Unterm Strich: Eine nur leicht abgeschwächte Version des "DomAdmins", kann immer noch genug im AD rummanipulieren. Mit ihm ist es aber möglich sich am DC remote anzumelden.

 

 

@ justin0102:

 

Das besagt auch meine Fehlermeldung, dass es nur mit Adminrechten geht, obwohl der Benutzer in der Gruppe der Remotedesktopbenutzer eingetragen ist und ihm das Recht der Remoteanmeldung nicht verweigert wird.

 

 

 

 

@ XP-Fan:

 

nein, es ist kein SBS-Server, reinrassiges Win2k3 mit SP2

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...