Admin-Benutzer mit Gruppen-Berechtigung müssen zu Ordner erst hinzugefügt werden

[Alith Anar 40]

Hallo,

 

ich bin gerade etwas ratlos.

 

Ich habe mehrere Admin Benutzer bei uns in der Domain.

Alle sind Mitglied der Gruppe der Domain Administratoren.

 

Diese Domain Administratoren haben zugriffsberechtigung auf die komplette Fileablage (Vollzugriff).

 

Wenn einer der Administratoren jetzt auf dem Fileserver auf eine Ordnerstruktur zugreifen möchte, meldet Windows, das der BEnutzer erst zur Berechtigung hinzugefügt werden muss. Wenn man die MEldung bestätigt wird der BEnutzer neu hinzugefügt und in den Sicherheitseinstellungen ist neben den Domain Adminstratoren auc hder jeweilige Admin Account eingetragen.

 

IMHO sollte das doch aber nicht geschehen. Wo kann ich nach der URsache suchen?

 

Danke

THomas

[NorbertFe 2.283]

UAC. ;) So einfach kanns sein. Und nein die Handhabung die ihr da fahrt ist nicht sinnvoll in meinen Augen.

[lefg 276]

Moin,

 

die User sollten Mitglied der Gruppe sein, die Zugriff auf die Datenablage hat, die auch in deren Access Control Lists eingetragen ist. Im einfachsten Fall ist das Gruppe Datenablage, diese in der ACL eingetragen. Und die Domänen-Admins haben damit nichts zu tun.

 

Die Frage nach der Zweck zu Domänen-Admins stelle ich nicht, gebe auch keinen Rat dazu.

bearbeitet 1. Dezember 2016 von lefg

[NorbertFe 2.283]

Na dann ist ja gut ;)

[Alith Anar 40]

Dann frag ich (lerne ja gerne mal was dazu) :-)

Warum ist es nicht sinnvoll und wie soll es besser laufen?

 

Wir haben hier 5 Admins, die jeder mit eigenem Adminaccount arbeiten soll. Jeder muss alles in der Domain machen können. Also ist jeder Domain Admin, die wiederum Mitglied in der Gruppe der Administratoren drin sind, die wiederum standardmässig bei der Verzeichnisstruktur mit für die einzelnen Ordner berechtigt sind.

[NorbertFe 2.283]

Dann nimm einen anderen filemanager. Nils hat das auf FAQ-o-Matic gut beschrieben. Der Explorer ist dafür "lokal" nicht geeignet. Also entweder anderes Tool oder eben per unc zugreifen.

[lefg 276]

Ich frag mal neugierig, was machen die Domänen-Admins da in der Dateiablage?

 

Und die Domänen-Admins können auch noch anderen Sicherheitsgruppen angehören, z.B. der Sicherheitsgruppe Dateiablage.

 

Hat denn die Sicherheitsgruppe Administratoren keinen Eintrag in die ACL der Dateiablage?

bearbeitet 1. Dezember 2016 von lefg

[Sunny61 833]

Sind die MA denn auch an ihren normalen PCs als Domain Admins angemeldet? Wenn ja, überleg doch mal was im Fall von Locky dann passiert.

[Alith Anar 40]

Nein, sind Sie nicht. Deshalb ja die Admin-Benutzer (accounts) :-)

 

@lefg:

Arbeiten. 

Daten wiederherstellen, Berechtigungen anpassen 

[NilsK 3.046]

Moin,

 

warum diskutieren - es gibt doch was von Ra*iopharm! :D

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

[NorbertFe 2.283]

Sag ich doch schon die gaaaaaanze Zeit. :p

[NilsK 3.046]

Moin,

 

Sag ich doch schon die gaaaaaanze Zeit.

 

ja, aber auf dich hört ja keiner. :D

 

Gruß, Nils

[NorbertFe 2.283]

Ja wie immer :p

[blub 115]

Überleg mal, was passiert, wenn ein Domain Admin am Server auf eine Locky.exe ohne UAC klickt.

Abgesehen davon, ein DomainAdmin-Account soll sich bitte nur auf DCs lokal (bzw. mit RDP) anmelden, sonst nirgends. Ein DomainAdmin-Account kann alles, aber er soll außer zur eigentlichen Domänen-Administration am DC (z.B. Domain GPOs bearbeiten) zu nichts Anderem genutzt werden.

[daabm 1.431]

Und wenn den TO das interessiert, werfe ich mal Tier0/1/2 in den Raum :-)

https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access

 

Wie Blub schon schreibt: Ein Domain Admin macht genau das - er administriert die Domäne und sonst nichts. Das ist NICHT identisch mit dem AD oder GPOs oder Fileservern, das kann man alles ganz easy delegieren.