Blase 15 Geschrieben 2. Dezember 2015 Melden Geschrieben 2. Dezember 2015 Mal eine Frage in die Runde nach "best practice" oder schlichtweg Erfahrungswerten und Meinungen. Wir haben hier eine Domäne und außer dem Geschäftsführer und mir kennt niemand das Kennwort des Domain Administrators. Sonstige administrativen Benutzer gibt es (zur Zeit) nicht. Der Rest sind "normale" AD Benutzer. In der technischen Abteilung gibt es durchaus den einen oder anderen, der mal an diesem oder jenen Server Dinge konfigurieren muss (und auch eigenverantwortlich macht). Hierfür melde ich mich beispielsweise auf dem betroffenen Server dann als Dom Admin an und der Kollege macht dann, was auch immer er dort machen muss. Dieses "Konstrukt" soll nun etwas abgeändert werden. Konkret sollen die Benutzer Zugriff auf bestimmte Server bekommen und dort dann "administrativ" schalten und walten können. Wie löst ihr das, bzw. wie löse ich das am Besten? Erweitere ich die Rechte der betroffenen AD Benutzer einfach um das Recht, auf Server X,Y,Z Vollzugriff auszuüben? Wenn ja, wie? Einfach lokal auf dem betroffenen Server den Benutzer zur Gruppe der lokalen Administratoren hinzufügen? Oder lege ich hierfür einen eigenen Benutzer im AD an, der eben Vollzugriff auf den betroffenem Server hat, aber darüber hinaus nichts darf? Oder arbeite ich hier mit lokalen Admin Konten auf den betroffenen Servern? Bin an Meinungen/Anregungen interessiert... MfG Björn
testperson 1.860 Geschrieben 2. Dezember 2015 Melden Geschrieben 2. Dezember 2015 Hi, so ganz grob: Built-In Domänen Admin bekommt komplexes, langes Kennwort und wird nicht zum administrieren genutzt. Kennwort kommt in den Safe. Ein administrative Account wird erstellt und kommt in die Domänen-Admins und wird nur zur Administration des DCs genutzt. Die User bekommen z.B. einen adm_User Account, welcher auf den vom User zu verwaltenden Servern lokale Adminrechte haben. Bei Applikationen die Schemaeweiterungen installieren / oder Änderungen am AD vornehmen / o.ä., müsste entschieden werden, ob die adm_User diese Rechte bekommen oder in Rücksprache mit einem entsprechenden Domänen-Admin gemaht werden. Gruß Jan
blub 115 Geschrieben 2. Dezember 2015 Melden Geschrieben 2. Dezember 2015 Hi, du könntest dir mal LAPS ansehen https://www.microsoft.com/en-us/download/details.aspx?id=46899 btw: Du solltest dich niemals mit einem DomainAdmin auf einer unsicheren Maschine anmelden. Jeder lokale Admin auf dieser Maschine kann dein PW in Sekunden auslesen, auch wenn du schon längst wieder abgemeldet bist. blub
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden