Jump to content

Domänen-Admins daran hindern sich an bestimmten DomainControllern anzumelden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin

 

eine Anmeldung geschieht an der Domäne, das macht ein DC als Anmeldeserver.

 

Welcher DC die Anmeldung abarbeitet, das ist wohl von einigen Faktoren abhängig und zufällig.

 

Es scheint wohl eine Möglichkeit der Voreinstellung für eine Bevorzugung zu geben, Stichworte in Erinnerung preferred Server oder preferred DC.

 

Geht es eigentlich um eine Anmeldung oder um einen Zugriff auf einen DC? Falls ja, worauf Zugriff?

bearbeitet von lefg
Link zu diesem Kommentar
  • 2 Jahre später...

Ihr habt alle nur BS geschrieben. Es geht aus Prinzip nicht? Von welchem Prinzip schreibst du?

Richtige Antwort? Natürlich geht das mit einer Authentifizierungsrichtlinie und einem Authentifizierungsrichtliniensilo das eingerichtet werden muss!!
 

Erläuterungen:

Authentifizierungsrichtliniensilos und die zugehörigen Richtlinien stellen eine Möglichkeit dar, Anmeldeinformationen mit erhöhten Rechten auf Systeme zu beschränken, die nur für ausgewählte Benutzer, Computer oder Dienste relevant sind. Silos können mit dem Active Directory-Verwaltungscenter und den Active Directory Windows PowerShell-Cmdlets in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) definiert und verwaltet werden.
 

Authentifizierungsrichtliniensilos sind Container, denen Administratoren Benutzerkonten, Computerkonten und Dienstkonten zuweisen können. Über die Authentifizierungsrichtlinien, die auf diesen Container angewendet werden, können dann Gruppen von Konten verwaltet werden. Daher muss der Administrator nicht mehr im gleichen Umfang wie bisher den Ressourcenzugriff einzelner Konten verfolgen, und es wird verhindert, dass böswillige Benutzer durch den Diebstahl von Anmeldeinformationen Zugriff auf andere Ressourcen erlangen.
 

Mit Funktionen, die in Windows Server 2012 R2 eingeführt wurden, können Sie Authentifizierungsrichtliniensilos erstellen, die eine Gruppe von Benutzern mit erhöhten Rechten beherbergen. Sie können diesem Container Authentifizierungsrichtlinien zuordnen, um die Verwendung privilegierter Konten in der Domäne zu begrenzen. Wenn Konten zur Sicherheitsgruppe "Geschützte Benutzer" gehören, werden zusätzliche Kontrollmechanismen angewendet, z. B. die exklusive Verwendung des Kerberos-Protokolls.
 

Damit können Sie die Nutzung hochwertiger Konten auf hochwertige Hosts begrenzen. Beispielsweise könnten Sie ein neues Silo für Administratoren der Gesamtstruktur erstellen, das Unternehmens-, Schema- und Domänenadministratoren enthält. Anschließend könnten Sie das Silo mit einer Authentifizierungsrichtlinie konfigurieren, sodass eine kennwort- und smartcard-basierte Authentifizierung von Systemen, die keine Domänencontroller oder Domänenadministratorkonsolen sind, fehlschlägt.

Am 12.12.2017 um 17:37 schrieb NilsK:

Moin,

 

die kurze Antwort ist: Geht nicht. Prinzipbedingt.

 

Gruß, Nils

Prinzipbedingt nicht? Was den für ein Prinzip? Nils du enttäuschst mich sehr!

Am 12.12.2017 um 13:19 schrieb zahni:

Hallo  und willkommen im Forum.

 

Ein Domain-Admin hat alle Rechte  oder kann sie sich verschaffen.

Geht also nicht.

 

-Zahni

Zahni deine Antwort ist total falsch. Wie soll der sich die Rechte "verschaffen" wenn er keine Rechte dazu hat?

bearbeitet von BigRalf3344
Link zu diesem Kommentar
vor 2 Minuten schrieb tesso:

Wenn du es weisst warum fragst du dann?

Authentication Silos wurden erst mit 2012R2 eingeführt. Du schreibst aber 2012 Domäne, das ist ein Unterschied.

Wenn du schon den MS hast hast, lies ihn bitte auch bis zum Ende. Dann siehst du auch, wen und was du dort einschränken kannst.

wie du evtl. vom datum meiner frage siehst war das 2017 und jetzt ist es 2019  mein lieber. vielleicht habe ich es damals nicht gewusst und weiss es nun besser und teile mein wissen?

Link zu diesem Kommentar
vor 23 Minuten schrieb BigRalf3344:

Prinzipbedingt nicht? Was den für ein Prinzip? Nils du enttäuschst mich sehr!

 

vor 23 Minuten schrieb BigRalf3344:

Zahni deine Antwort ist total falsch. Wie soll der sich die Rechte "verschaffen" wenn er keine Rechte dazu hat? 

 

 

Was ist daran falsch?
Die Silos werden in der AD Datenbank gespeichert, welche wiederrum mit den anderen DCs repliziert wird.
Der Domain-Admin ist immer auf ALLEN DCs auch Mitglied der lokalen Administrator Gruppe. Also ja, ist prinzip bedingt.
Ob man sich das System umbiegen kann, wer weis. Ob das jemals irgendwer empfehlen würde bzw. nötig für deine Anforderung ist, ich denke nicht.

Link zu diesem Kommentar

Das alte Missverständnis - hier besonders zelebriert :-) You cannot restrict administrators, even if it looks as if you can. The purpose of administrators is "administrator". If you don't trust them, get rid of them.

Anders formuliert: Egal welche Art von Restriktionen Du mit welchen Mitteln auch immer einem Adminstrator auferlegst, er wird immer in der Lage sein, sich dessen zu entledigen. ym2c...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...