Mc_Gregor 10 Geschrieben 13. Februar 2008 Melden Geschrieben 13. Februar 2008 Hallo, wie kann ich in einer Windows Server 2003 Domäne verhindern, dass sich User mit hohen Berechtigungen Laufwerke auf Servern zuweisen, auf denen Sie nichts zu suchen haben oder ähnliches. Aber aufgrund von organisatorischen Gründen an Ihren Berechtigungen am User direkt nicht geändert werden können. Ein Beispiel USER A ist Domänensystemverwalter wird benutzt, um einen Server zu starten, im Benutzerkonto ist angegeben, dass er sich nur an diesem Server anmelden kann, trotzdem kann er mit seinen Berechtigungen z.B. Änderungen in der ADS machen. Also wie kann ich dies verhindern, ohne dem User die Domänensystemverwalter Rechte zu nehmen, da diese auf dem Server benötigt werden?
tpk 10 Geschrieben 13. Februar 2008 Melden Geschrieben 13. Februar 2008 Hallo, wie kann ich in einer Windows Server 2003 Domäne verhindern, dass sich User mit hohen Berechtigungen Laufwerke auf Servern zuweisen, auf denen Sie nichts zu suchen haben oder ähnliches. Aber aufgrund von organisatorischen Gründen an Ihren Berechtigungen am User direkt nicht geändert werden können. Ein Beispiel USER A ist Domänensystemverwalter wird benutzt, um einen Server zu starten, im Benutzerkonto ist angegeben, dass er sich nur an diesem Server anmelden kann, trotzdem kann er mit seinen Berechtigungen z.B. Änderungen in der ADS machen. Also wie kann ich dies verhindern, ohne dem User die Domänensystemverwalter Rechte zu nehmen, da diese auf dem Server benötigt werden? Was jetzt genau? Laufwerke oder AD Verwaltung? Bei den Laufwerken würd ich einfach mal wegen den NTFS Berechtigungen schaun, was allerdings nicht verhindert das sich diese User die Rechte wieder selbst geben. Aber wieso melden sich bei euch User direkt am Server an?
Mc_Gregor 10 Geschrieben 13. Februar 2008 Autor Melden Geschrieben 13. Februar 2008 Das ist es ja genau, wir haben User nach Aufgaben, z.B. User A um die Dienste auf einem Domino-Server zu starten, User B um Dienste auf einem SQL-Server zu starten. Diese User haben Domänen-Systemverwalterrechte. Sie sollen aber nur für die Dienste und für eventuell notwendige Anmeldungen an den Servern verwendet werden.
grizzly999 11 Geschrieben 13. Februar 2008 Melden Geschrieben 13. Februar 2008 Also wie kann ich dies verhindern, ohne dem User die Domänensystemverwalter Rechte zu nehmen, da diese auf dem Server benötigt werden? Gar nicht. Ein Domänen-Admin ist nunmal Domänen-Admin. Der korrekte Weg ist ein anderer: gib dem Benutzer nur diejenigen Rechte, die er benötigt. Nur um einen Dienst zu starten, muss man kein Domänen-Admin sein, da muss man genau genommen nicht mal lokaler Admin sein. grizzly999
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden