Jump to content

Administrator soll sich nur an bestimmten PCs anmelden dürfen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

unser Server-Administrator ist ja auch ein Benutzer im Netzwerk. Leider hat der Administrator-Account die Eigenschaft, dass man beliebig oft versuchen kann, sich anzumelden.

Daher meine Frage: Kann man irgendwo einstellen, dass der Administrator sich nur über ganz bestimmte workstations oder direkt am Server anmelden darf? Und wie?

Falls ja: würde das dann auch die Anmeldung über den Terminaldiensteclient betreffen?

Link zu diesem Kommentar

Hallo Axelino,

 

die Frage kann man eindeutig mit JEIN beantworten.

 

Der Administrator ist der Administrator.

Natürlich kann man diesem auch Rechte entziehen, die er sich dann aber selbst wieder geben kann.

 

Aber vor Versuchen dieser Art würde ich WARNEN.

 

Es gab schon Beispiele hier im Forum, wo sich niemand mehr

auf einem Server/DC lokal anmelden konnte.

Das ist ein riesen Aufwand soetwas wieder Rückgängig zu machen.

 

Der normale Weg ist einen Benutzer zu schaffen, der nur

die Rechte erhält, die er zur Anmeldung/Administration benötigt.

Link zu diesem Kommentar

Hmm...aber wenn ich 3-4 Stationen habe, von wo aus sich der Admin anmelden darf, dürfte doch eigentlich nix passieren können?

Denn auch wenn ich einen neuen Benutzer anlege der admin sein soll: den Administrator-User gibts auf dem Server ja trotzdem noch. Wir hatten nämlich schon den Fall mit dem neuen User, das Problem ist, dass Serverinstallationen eigentlich immer mit dem Administrator-User durchgeführt werden sollten, denn manche Programme laufen sonst nicht richtig.

Link zu diesem Kommentar

hallo,

 

Original geschrieben von Axelino

Kann man irgendwo einstellen, dass der Administrator sich nur über ganz bestimmte workstations oder direkt am Server anmelden darf? Und wie?

in den eigenschaften des users (unter account im ad) kann man unter "log on to" so ne beschränkung vornehmen, nur geht das nicht für das vordef. konto 'administrator'.

man könnte die rechte "log on locally" und "deny logon locally" in der domain policy modifizieren, ähnlich die berechtigungen auf das rdp-protokoll... nur wird das den admin nicht aufhalten, das wieder rückgängig zu machen.

ne frage: wieso arbeitet euer server-admin nicht mit nem personifizierten konto? das ist so n grobes sicherheitsproblem.

 

gruß

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...