marhal 0 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 Hallo alle zusamme, ich habe mal eine Frage. Wenn ich einen Benutzer in der Domänen-Admins Gruppe stelle, hat er die gleichen Rechte wie der Domänen Administrator ? Oder wo muss ich noch Harken setzen damit das dem gleich kommt. Zweck ist das wir Personalisierte Accounts haben wollen. Ich habe nämlich ein unterschied gefunden wenn ich mit der Powershell get-aduser mustermann | ui gidnumber abfrage ist die bei den Benutzer den ich in der Gruppe habe leer. Mache ich es aber mit dem Domänen Administrator habe ich dort werte drin stehen. Ist das ein Bug ? Hat jemand vielleich sonst ein Literatur Link wo ich mehr über das Rollen Management lesen kann. Gruß Marcel
v-rtc 92 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 (bearbeitet) Hallo, das dürfte Interessant sein https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access Ist Euer Domänen Admin auch Forest Admin? Grüße bearbeitet 29. April 2019 von v-rtc
NorbertFe 2.283 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 (bearbeitet) vor 38 Minuten schrieb marhal: hat er die gleichen Rechte wie der Domänen Administrator ? Nein er hat dann Domänen-Admin Rechte. Der Built-In Admin hat die -500 und damit ist fast auf allen Systemen die UAC aus. Vielleicht liegts ja daran. Bye Norbert PS: Das Ding heißt Haken, und definitiv nicht Hacken und erst Recht nicht Harken. :) bearbeitet 29. April 2019 von NorbertFe 1 1
daabm 1.431 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 Ich versteh schon die Frage nicht, denn: PS Y:\> get-aduser admin | ui gidnumber ui : Die Benennung "ui" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang. In Zeile:1 Zeichen:20 + get-aduser admin | ui gidnumber + ~~ Was soll "ui" für ein Alias sein?
NilsK 3.046 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 Moin, "gidnumber" deutet auf eine Linux-/Unix-Integration hin. Vielleicht kann @marhal mal genauer beschreiben, was eigentlich die Anforderung und die Umgebung ist. Gruß, Nils
marhal 0 Geschrieben 30. April 2019 Autor Melden Geschrieben 30. April 2019 Morgen alle zusammen, gern kann ich noch mal das sagen. Wir kommen aus dem Linux bereich und übernehmen mit einem Powershell script die Attribute uid,gid etc und fügen sie einem ADuser hinzu. Mit dem Befehl get-aduser -property * | FL gidnumber,uidnumber,uid kann man sich die Attribute dann anzeigen lassen. Wie man sieht habe ich oben das -proberty * vergessen mit dem man zusätzliche attribute sich anzeigen lassen kann. @NorbertFe Ich mit dem ( Der Built-In Admin hat die -500 und damit ist fast auf allen Systemen die UAC aus. Vielleicht liegts ja daran. ) habe ich nicht ganz verstanden. Magst du mir mehr dazu sagen ? Gruß Marcel
NilsK 3.046 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 Moin, aha. Das bringt etwas, wenn auch nicht viel Licht in die Sache. Allgemein vorweg: Ich halte es für sinnvoll, wenn ihr euer Vorhaben von jemandem begleiten lasst, der die Mechanismen des AD kennt. Sonst lauft ihr ziemlich wahrscheinlich in eine ungünstige Richtung. Auch wäre es wahrscheinlich sinnvoll, wenn ihr euch noch ausführlicher mit den Security-Grundlagen von Windows und AD befasst, da ist vieles anders als in der *x-Welt. Zu deiner Frage: Wenn ihr personalisierte Admin-Accounts haben wollt, reicht die Mitgliedschaft in den betreffenden Gruppen aus. Es gibt keine "versteckten" Attribute oder sowas. Einzige Ausnahme ist der vordefinierte Administrator (das ist der mit der RID -500), für den ein paar "hardcodierte" Ausnahmen gelten, damit er auch im Notfall noch Zugriff hat, Diesen Account verwendet man genau aus diesem Grund auch nicht für die tägliche Arbeit, sondern nur für Notfälle. Diese Ausnahmen sind aber nicht misszuverstehen als "Gott-Modus" - es gibt nichts, was der -500-Administrator kann, was man nicht mit anderen Admin-Accounts auch erreichen könnte, wenn diese die nötigen Berechtigungen haben. Genau an der Stelle fängt dann die Planung an. Windows selbst nutzt weder UID noch GID. Wenn es dort also Unterschiede bei euren Objekten gibt, dann habt ihr die selbst mit eurer Datenübertragung hergestellt. Für Windows und das AD sind diese Unterschiede aber ohne Belang. Gruß, Nils 1
Tektronix 21 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 (bearbeitet) Moin, Der Standard Domänen Admin ist noch Mitglied Organisations-Admins, Richtlinien-Ersteller und Schema-Admins. bearbeitet 30. April 2019 von Tektronix
NorbertFe 2.283 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 Ja aber erstens muss er das nicht sein und zweitens erhält er dann auch nur rechte, die nicht notwendig für die Aufgabenstellung sind.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden