Jump to content
Sign in to follow this  
R_Mori

Benutzergruppe Domänen-Admin aus anderer Domäne

Recommended Posts

Hallo zusammen

Ich komme nicht weiter und hoffe auf einen guten Tipp:

Ich verwalte verschiedene Windows Domänen. Alle stehen in Vertrauensstellungen zueinander. Nun bin ich daran, ein Software-Deployment System aufzubauen, welches über alle Domänen hinweg gesteuert werden soll. Nun braue ich einen Admin, der überall Admin ist, um die Installationen auszuführen.

Mein Lösungsansatz:

Auf der Domäne A läuft das Programm. Ich erstellte einen speziellen Admin und fügte ihn der Gruppe Domänen-Administratoren bei.

Nun versuchte ich auf der Domäne B die Gruppe der Domänen-Administratoren der Domäne A in die eigene Gruppe der Domänen-Administratoren zu integrieren. Das geht nicht. Aus dieser Position sehe ich die Vertrauten Domänen gar nicht.

 

Wie muss ich da vorgehen? Ich könnte lokal, jedem Rechner die Domänen-Administratoren Gruppe der Domäne A hinzufügen. Das geht, ist aber eher umständlich. Hat da jemand eine andere Lösung?

 

Vielen Dank für die Tipps.

 

Grusse

 

r_mori

Share this post


Link to post

Moin,

 

Globale Gruppen können nur Mitglieder derselben Domäne aufnehmen. Du kannst dein Vorhaben so also gar nicht umsetzen.

 

Um Software zu installieren, brauchst du auch keinen Domänen-Admin! Das wäre viel zu riskant, denn der Installationsdienst soll bzw. darf ja nicht im AD herumändern.

 

Du könntest in jeder Domäne eine Domänenlokale Gruppe einrichten und in die lokalen Admin-Gruppen der Zielrechner aufnehmen. Das kannst du per GPO steuern. In diese Gruppe nimmst du dann den oder die Dienstuser auf.

 

Allgemein ist es keine gute Idee, denselben administrativen Account über große Bereiche des Netzwerks hinweg einzusetzen. Mindestens solltest du pro Domäne unterschiedliche Accounts definieren. Darüber hinaus solltest du prüfen, welche Möglichkeiten dein Deployment-Tool bietet, auf zentrale Accounts zu verzichten (z.B. Einrichten des Installations-Dienstes als "Local System" oder als "Network Service"). Sonst hat ein Angreifer, der den einen Account knackt, gleich das gesamte Netzwerk im Griff.

 

Gruß, Nils

Share this post


Link to post

... vielen Dank für diesen Ansatz. Ich werde mir ein solches Szenario mal durchdenken und austesten.

 

Grüsse

r_mori

... da hätte ich schon die erste weitere Frage:

 

Ich habe in der GPO diesen Punkt zur Aufnahme von Gruppen zur lokalen Admin Gruppe nicht gefunden. Wo versteckt sich diese Richtlinie?

 

Vielen Dank für die Hilfe

 

r_mori

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...