Jump to content

Lokale User-Administratoren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

mich beschäftigt gerade folgende Frage:

 

Ist es möglich einem Kreis von Usern lokal auf Servern Rechte zu geben, um User und Gruppen anzulegen, zu  löschen und abzuändern - ohne, dass sie gleich lokale Administratoren (also Volladministratoren) sind?

Meine Recherchen haben bislang ergeben, dass eine solche Einstellung leider nicht über das User Rights Assignment in der secpol möglich ist - Microsoft bietet eine solche Vergabe der Rechte im Standard offensichtlich nicht an.

 

Habt ihr Ideen wie man das bewerkstelligen könnte?

 

Danke und Gruß

Link zu diesem Kommentar

Hi Nils,

 

danke für die fixe Antwort!

Hintergrund ist, dass die Administration der Server und das Doing der Berechtigungs- und Benutzerverwaltung organisatorisch getrennt sind.

 

So soll die Benutzerverwaltung natürlich Benutzer auch lokal anlegen können, Gruppen pflegen usw.. Viel mehr aber eben auch nicht (bspw. Dienste stoppen, Logs löschen usw usw.). Hier soll eigentlich nach Möglichkeit das Need-to-know-Prinzip umgesetzt werden - sofern denn technisch umsetzbar - und dafür bräuchte man irgendwie eine Rolle, welche die administrativen Rechte eben auf das Administrieren von Benutzern und Gruppen lokal beschränkt.

Schade dass MS da keine Lösung hat...

 

Danke und Gruß

Link zu diesem Kommentar

Moin,

 

es existiert zentral eine Gruppe für Server-Administratoren, welche auf jedem Member-Server in der "Lokale Administratoren"-Gruppe Mitglied ist.

 

Wenn aber nun beispielsweise temporär für eine Wartung ein User auf genau einem Server administrative Rechte bekommen soll, wird derjenige als lokaler Admin auf genau diesem Server aufgenommen. Hier also eine Aufnahme eines AD-Accounts in eine lokale Gruppe.

 

Oder gibt es für ein solches Szenario gute, alternative Best-Practice Ansätze?

 

Gruß

Link zu diesem Kommentar

Ja, gibt es zuhauf - "eingeschränkte Gruppen" wäre das Stichwort. Der User kommt in eine AD-Gruppe, die über Restricted Groups in die lokalen Admins aufgenommen wird.

 

OT: Das ist Schnee von gestern - heute macht man das über Group Policy Preferences "Local Users and Groups" :) Da gehen dann so lustige Sachen wie

 

Administrators - Mitglied "Domain\Server-%Computername%-Admins"

Link zu diesem Kommentar

Ist es möglich einem Kreis von Usern lokal auf Servern Rechte zu geben, um User und Gruppen anzulegen, zu  löschen und abzuändern - ohne, dass sie gleich lokale Administratoren (also Volladministratoren) sind?

 

Hallo,

 

User-Admin? Ein Admin ist ein Admin ist ein Admin. Ein User sollte kein Admin sein! Natürlich muss das jeder Verantwortungsträger selbst entscheiden. Er muss die Leute aussuchen und bewerten, sind diese vertrauenswürdig und verantwortungsvoll und qualifiziert.

 

ich habe da im Hinterkopf den Begriff Operator, Gruppe der Konten-Operatoren.

 

Weiter erinnere ich mich an Objektverwaltung.

 

Ich sehe gerade den von XP-Fan verlinkten Artikel, darin gibt es die Begriffe Konten-Operatoren und Objektverwaltung.

bearbeitet von lefg
Link zu diesem Kommentar

Moin,

 


ich habe da im Hinterkopf den Begriff Operator, Gruppe der Konten-Operatoren.

 

Weiter erinnere ich mich an Objektverwaltung.

 

Ich sehe gerade den von XP-Fan verlinkten Artikel, darin gibt es die Begriffe Konten-Operatoren und Objektverwaltung.

 

ganz falsche Baustelle. Da geht es um die Verwaltung von Konten im AD, nicht um das Zuweisen von Rechten an AD-Konten auf einem lokalen Rechner.

Und selbst wenn: Die Konten-Operatoren verwendet man bitte nicht. Schon seit NT nicht mehr.

 

Die vorgeschlagenen Wege, den Account in die lokale Admin-Gruppe aufzunehmen, sind die Lösung dazu. Also hat Microsoft sehr wohl was dafür ... man muss eben nur von Anfang an sagen, was man eigentlich will. Sonst doktorn alle an den Problemen der Lösung herum, statt eine Lösung für das Problem zu finden (wie ich oft und gern sage).

 

Gruß, Nils

Link zu diesem Kommentar

Um es hier noch einmal kurz aus meiner Sicht zusammenzufassen:

 

- Hast du KEIN ActiveDirectory, dann muss ein User, um LOKALE Konten anlegen zu können auch LOKALER Admin sein, da geht kein Weg daran vorbei

- Wenn du ein AD hast, dann kannst du Benutzern die Berechtigung delegieren, Konten anzulegen, zu verwalten und und und, und zwar ziemlich granular, sie müssen dazu also explizit NICHT Domänen-Admins sein

- Wenn du einfach nur einen Benutzer des AD auf gewissen Workstations zu lokalen Admins machen willst geht das z.B. per GPO ("Eingeschränkte Gruppen")

 

Hilft dir das weiter?

Link zu diesem Kommentar

Hi zusammen,

 

erstmal besten Dank an alle für die Unterstützung.

 

Und auch danke für die gute Zusammenfassung - ich glaube ich habe jetzt eine gute Idee davon, was in der Microsoft-Welt möglich ist und was nicht.

 

Eine kurze Frage noch zum Ende:

Das Konzept mit den eingeschränkten Gruppen ist nicht schlecht. Bedeutet das aber nicht auch, dass ich zuvor eine separate GPO, wirksam für beispielsweise "Server-1234" , erstellen muss, damit "User A" oder "Usergruppe B" Mitglied der lokalen Administratorgruppe auf "Server-1234" per GPO wird?

Ich kann die eingeschränkten Gruppen ja nicht in der Domain-GPO definieren - die würde User A ja auf allen Servern der Domäne berechtigen...

 

Danke und Gruß!

Link zu diesem Kommentar

Das Konzept mit den eingeschränkten Gruppen ist nicht schlecht. Bedeutet das aber nicht auch, dass ich zuvor eine separate GPO, wirksam für beispielsweise "Server-1234" , erstellen muss, damit "User A" oder "Usergruppe B" Mitglied der lokalen Administratorgruppe auf "Server-1234" per GPO wird?

Deine Fragen sollten in diesem Artikel beantwortet werden: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

 

Ich kann die eingeschränkten Gruppen ja nicht in der Domain-GPO definieren - die würde User A ja auf allen Servern der Domäne berechtigen...

In den beiden Default Domain GPOs solltest Du außer Passwortrichtlinien und SMB-Signing nichts verändern. Immer ein eigenes neues GPO dafür erzeugen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...