lamu 10 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Hallo, warum kann ein User, der in die Gruppe der lokalen Admins aufgenommen wurde und sich an einem DC anmeldet, Benutzerkonten löschen/ändern? Wie kann man das verhindern? (Ich dachte, daß dürfen nur Domänen-Admins.) Lokale Admins sollten temporär nur administrative Rechte auf einem Rechter besitzen, um z. Bsp. Software zu installieren. Gruss lamu Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Hi, sind die User in der Gruppe Administratoren auf dem Client-PC oder in der unter Build-In aufgeführten Gruppe der Administratoren im Active Directory? Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Hallo Lamu, du meinst höchstwahrscheinlich die "lokalen" Administratoren der Domäne (man würde hier eher von "Domänen-lokal" reden. Mitglieder dieser Gruppe sind lokaler Admin auf den Domänen-Controllern, und zusammen mit dieser Berechtigung ergibt sich (leider) auch der volle Zugriff auf alle Partitionen der AD-Datenbank, die auf den DCs gespeichert werden (also auch der Inhalt der normalen Domäne). Dadurch hast du also den Zugriff auf Objekte der Domäne. Eine saubere Trennung gibt es leider nicht. Wenn du Administrativen Zugriff auf eine DC vergeben willst (z.B. RDP-Login, Software installieren, Treiber updaten, Patches aufspielen, Rechner booten etc.) dann hast du mit den "Administratoren", die das alles als einzige out-Of-The Box dürfen , auch Zugriff auf das AD.... Du könntest höchsten eine Gruppe erzeugen und dieser Gruppe versuchen, alle gewünschten Berechtigungen direkt zu vergeben, aber das ist ein großer Aufwand und fraglich, ob das tatsächlich in allen Fällen geht (z.B.: wo die BErechtigungen, Windows-Patches auf einem Domänencontroller aufzuspielen, wenn ich kein lokaler Administrator bin???) Fazit: die "Administratoren" der Domäne sind indirekt spo mächtig wie die Domänen-Admins, in der Root-Domäne des Forests sogar so mächtig wie die Enterprise-Admins. Also Vorsicht beim Verteilen dieser Mitgleidschaft! Lokal auf den DCs haben dann einfach nur Domänen-Admins was zu suchen.... Gruß, Philipp Zitieren Link zu diesem Kommentar
lamu 10 Geschrieben 1. Februar 2010 Autor Melden Teilen Geschrieben 1. Februar 2010 Hallo, ja - die lokalen_Admins sind eine Gruppe, die ich per Gruppenrichtlinie, jedem Rechner in die Gruppe der lokalen Administratoren schiebe. Ich was der Meinung, daß die tatsächlich nur "lokal" was machen dürfen. Nun weiß ich mehr. Danke lamu Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Hallo, ja - die lokalen_Admins sind eine Gruppe, die ich per Gruppenrichtlinie, jedem Rechner in die Gruppe der lokalen Administratoren schiebe. Wozu soll das bitte auf einem DC sinnvoll sein? Ich was der Meinung, daß die tatsächlich nur "lokal" was machen dürfen. Nun weiß ich mehr. Ja, auf einem DC lokal ist "pfui" ;) Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Auf einem DC gibt es keine Lokalen Admins. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 1. stimmt das nicht ganz und zweitens haben wir das schon weiter oben geklärt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.