Jump to content
Sign in to follow this  
Axelino

Administrator soll sich nur an bestimmten PCs anmelden dürfen

Recommended Posts

Hallo,

unser Server-Administrator ist ja auch ein Benutzer im Netzwerk. Leider hat der Administrator-Account die Eigenschaft, dass man beliebig oft versuchen kann, sich anzumelden.

Daher meine Frage: Kann man irgendwo einstellen, dass der Administrator sich nur über ganz bestimmte workstations oder direkt am Server anmelden darf? Und wie?

Falls ja: würde das dann auch die Anmeldung über den Terminaldiensteclient betreffen?

Share this post


Link to post

Hallo Axelino,

 

die Frage kann man eindeutig mit JEIN beantworten.

 

Der Administrator ist der Administrator.

Natürlich kann man diesem auch Rechte entziehen, die er sich dann aber selbst wieder geben kann.

 

Aber vor Versuchen dieser Art würde ich WARNEN.

 

Es gab schon Beispiele hier im Forum, wo sich niemand mehr

auf einem Server/DC lokal anmelden konnte.

Das ist ein riesen Aufwand soetwas wieder Rückgängig zu machen.

 

Der normale Weg ist einen Benutzer zu schaffen, der nur

die Rechte erhält, die er zur Anmeldung/Administration benötigt.

Share this post


Link to post

Hmm...aber wenn ich 3-4 Stationen habe, von wo aus sich der Admin anmelden darf, dürfte doch eigentlich nix passieren können?

Denn auch wenn ich einen neuen Benutzer anlege der admin sein soll: den Administrator-User gibts auf dem Server ja trotzdem noch. Wir hatten nämlich schon den Fall mit dem neuen User, das Problem ist, dass Serverinstallationen eigentlich immer mit dem Administrator-User durchgeführt werden sollten, denn manche Programme laufen sonst nicht richtig.

Share this post


Link to post

hallo,

 

Original geschrieben von Axelino

Kann man irgendwo einstellen, dass der Administrator sich nur über ganz bestimmte workstations oder direkt am Server anmelden darf? Und wie?

in den eigenschaften des users (unter account im ad) kann man unter "log on to" so ne beschränkung vornehmen, nur geht das nicht für das vordef. konto 'administrator'.

man könnte die rechte "log on locally" und "deny logon locally" in der domain policy modifizieren, ähnlich die berechtigungen auf das rdp-protokoll... nur wird das den admin nicht aufhalten, das wieder rückgängig zu machen.

ne frage: wieso arbeitet euer server-admin nicht mit nem personifizierten konto? das ist so n grobes sicherheitsproblem.

 

gruß

Share this post


Link to post

Das personifizierte Admin-Konto gibts schon. Aber den Administrator-User eben auch noch. Was soll denn mit dem dann passieren, deaktivieren? Das gibt eben, wie gesagt, Probleme bei der Installation von Programmen auf dem Server.

Share this post


Link to post

Hallo spielkind675,

 

ich Kommentiere nie postings anderer Forum Member.

Aber ernsthaft hier den Vorschlag zu machen in der

Domain Policy dem Administrator ein deny logon locally

zu setzten finde ich sehr gewagt.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...