wciibb 10 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 Hallo ich habe eine etwas kniffelige Aufgabe: Ich habe eine Root-Domäne (2003 R2) unterhalb derer ein paar Subdomains erstellt wurden. Nun möchte ich den Mitgliedern der Gruppe der Organisations-Admins Rechte an der Verwaltung der Subdomain entziehen. Ein Ogra-Admin soll zB. nicht in der Lage sein Objekte o.ä. im AD der Subdomain zu erstellen. Wie beschränkt man die Rechte der Orga-Admins in einer darunter liegenden Subdomain und was kann man alles beschränken - falls es möglich ist? Im Prinzip soll für die Orga-Admins gelten "nur gucken, nicht anfassen!" Geht das? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 Moin, effektiv wirst du das nicht beschränken können. Die sinnvollste Regelung ist, die Gruppe Org-Admins leer zu lassen und nur bei konkretem Bedarf temporär Mitglieder aufzunehmen. Technisch ist es zwar möglich, der Gruppe Rechte in den Subdomains zu entziehen. Das erfordert allerdings erhebliche Planung und Tests. Zudem bist du dann schnell in einer Konfig, die nicht supported wird, weil du durch Manipulationen auf dieser Ebene auch die Funktion des AD empfindlich stören kannst. Ich würde also die Finger davon lassen. Zumal es, wie schon angedeutet, keine harte Sicherheitstrennung wäre - wer in einer Domäne des Forests administrative Rechte hat, kann mit ein wenig Know-how im ganzen Forest Adminrechte erhalten. Eine Sicherheitstrennung setzt getrennte Forests (!) voraus. Gruß, Nils Zitieren Link zu diesem Kommentar
wciibb 10 Geschrieben 26. Mai 2011 Autor Melden Teilen Geschrieben 26. Mai 2011 Hallo Nils, danke für die Antwort. Das dachte ich mir auch schon dass dies nicht so einfach - bzw. "supported" garnicht möglich sei. Das Problemist das die Gruppe der Orga-Admins nicht unter meiner Kontrolle wären sondern von einer anderen Instanz gepflegt und auch gefüllt würde. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 ...die als "vertrauenswürdige Instanz" anzusehen ist. Wenn die Organisations-Admins nicht vertrauenswürdig sind, dann sollten sie nicht Org-Admin sein. Das ist nicht neunmalklug gemeint - aber wie schon von Nils angesprochen gibt es keine andere sinnvolle Lösung für diese Thematik außer getrennten Forests. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.