Sunny99 10 Geschrieben 19. Juni 2008 Melden Teilen Geschrieben 19. Juni 2008 Hallo zusammen Wir haben ein Active Directory auf Basis von Windows Server 2003. Nun haben wir eine grosse Abteilung mit Applikations-Betreuer. Die fordern nun eine eigene OU für ihre Projekte. Dies wurde von oberster Etage auch so bewilligt. Ich muss nun sicherstellen, dass a) die sicherheit des gesammten AD gewährleistet wird und b) die Applications ohne Impact von oben laufen. Auf was muss ich hier alles achten? Danke / Gruss Sunny Zitieren Link zu diesem Kommentar
NorbertFe 1.826 Geschrieben 19. Juni 2008 Melden Teilen Geschrieben 19. Juni 2008 Hallo zusammen Wir haben ein Active Directory auf Basis von Windows Server 2003. Nun haben wir eine grosse Abteilung mit Applikations-Betreuer. Die fordern nun eine eigene OU für ihre Projekte. Dies wurde von oberster Etage auch so bewilligt. Ich muss nun sicherstellen, dass a) die sicherheit des gesammten AD gewährleistet wird und b) die Applications ohne Impact von oben laufen. Auf was muss ich hier alles achten? Danke / Gruss Sunny Hmm und was genau soll dadurch erreicht werden? Bye Norbert Zitieren Link zu diesem Kommentar
Sunny99 10 Geschrieben 19. Juni 2008 Autor Melden Teilen Geschrieben 19. Juni 2008 Ofiziell geht's um "Eigenständigkeit" dieser PseudoAdmins... Die Applikations-Leute werden praktisch als eigene IT gehandhabt. Ob dies sinnvoll ist, kann ich mir nicht vorstellen. Aber das Fussvolk hat wohl dem König zu gehorchen ;) Zitieren Link zu diesem Kommentar
NorbertFe 1.826 Geschrieben 19. Juni 2008 Melden Teilen Geschrieben 19. Juni 2008 Ofiziell geht's um "Eigenständigkeit" dieser PseudoAdmins... Die Applikations-Leute werden praktisch als eigene IT gehandhabt. Ob dies sinnvoll ist, kann ich mir nicht vorstellen. Aber das Fussvolk hat wohl dem König zu gehorchen ;) Ja, das ist schon klar. Nur WAS genau soll damit erreicht werden. WAS sollen diese "PseudoAdmins" können dürfen? DAS mußt DU und SIE definieren. Erst dann kann man dir wirklich helfen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny99 10 Geschrieben 19. Juni 2008 Autor Melden Teilen Geschrieben 19. Juni 2008 Ok, nun verstehe ich. Diese Applications-Verantwortlichen managen ihre eigene Infrastruktur, für ihre Apps. Also DB, WEB, Citrix, Backup etc. Um Dikussionen zu vermeiden, ich weiss - doppelspuhrigkeiten. Aber es ist leider eine politische Entscheidung. Damit die nicht noch ein eigenes AD bauen, werden die Berechtigungen auf einer OU erteilt. Die "Admins" müssen Computer/Server joinen, gpo + user etc anlegen und uneingeschränkt auf deren server arbeiten können. Eigentlich sämtliche tätigkeiten in einer IT, einfach auf diese OU begrenzt. "Ich" muss im AD die Arbeiten machen können. Aus Security Gründen sollte der Zugriff von oben auf diese OU eingeschränkt werden. damit nicht jeder zugriff hat. "Meine" Policies dürfen zusätzlich keinen Impact auf deren OU haben. Zitieren Link zu diesem Kommentar
NorbertFe 1.826 Geschrieben 19. Juni 2008 Melden Teilen Geschrieben 19. Juni 2008 Ok, nun verstehe ich. Diese Applications-Verantwortlichen managen ihre eigene Infrastruktur, für ihre Apps. Also DB, WEB, Citrix, Backup etc. Um Dikussionen zu vermeiden, ich weiss - doppelspuhrigkeiten. Aber es ist leider eine politische Entscheidung. Damit die nicht noch ein eigenes AD bauen, werden die Berechtigungen auf einer OU erteilt. Die "Admins" müssen Computer/Server joinen, gpo + user etc anlegen und uneingeschränkt auf deren server arbeiten können. Eigentlich sämtliche tätigkeiten in einer IT, einfach auf diese OU begrenzt. "Ich" muss im AD die Arbeiten machen können. Aus Security Gründen sollte der Zugriff von oben auf diese OU eingeschränkt werden. damit nicht jeder zugriff hat. "Meine" Policies dürfen zusätzlich keinen Impact auf deren OU haben. OK, dann gib Ihnn Vollzugriff auf diese OU für Benutzer und Computer und Gruppe usw. Damit können Sie alles erstellen und löschen, was unterhalb dieser OU ist. Zusätzlich mußt du ihnen aber das Recht geben Computer in die Domain aufzunehmen. Grundsätzlich kannst du dir die How To's auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials zum Thema Delegation mal anschauen. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.