Jump to content
Bosco

Aufbau abgeschwächter Adminuser

Recommended Posts

Hallo zusammen,

 

nachdem ich mich seit einiger Zeit erfolglos durch das Netz gewühlt hbae, möchte ich hier im Forum mein Anliegen los werden und hoffe,

mir kann hier jemand weiterhelfen.

 

Ich soll für meinen Arbeitgeber einen, sozusagen zweiten, Administratorbenutzer anlegen,

mit dem, einfachere Aufgaben, wir z.B. ein Rechner in die Domäne bringen, Benutzerkonten anlegen, Installationen durchführen, ... machbar sein sollen.

Allerdings finde ich nirgends eine Beschreibung, wie man einen solchen Benutzer aufbauen kann, und welche Berechtigunegn/Rollen diesem zuzuweisen sind.

 

... Und die Kür der Aufgabe ist, auch diesen Benutzer ohne Adminrechte zu erstellen, was meines Wissens nach, nicht gehen dürfte, wobei mein Chef da anderer Meinung ist :-(

 

 

Ich bin für jede Idee dankbar und wünsche euch einen tollen Tag

 

Bosco

 

Share this post


Link to post
Share on other sites

Hi,

vor 53 Minuten schrieb Bosco:

Rechner in die Domäne bringen

das kann per Default jeder Domänen-Benutzer mit bis zu 10 Clients. Hier könntest du einer "HelpDesk-Gruppe" das erstellen von Computer Objekten für die entsprechende(n) OU(s) delegieren: https://blogs.technet.microsoft.com/dubaisec/2016/02/01/who-can-add-workstation-to-the-domain/

vor 56 Minuten schrieb Bosco:

Benutzerkonten anlegen

Das lässt sich ebenfalls per Delegation an eine entsprechende Gruppe erledigen: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-by-using-ou-objects

vor einer Stunde schrieb Bosco:

Installationen durchführen

Dafür müsste der User bzw. besser die "HelpDesk-Gruppe" Mitglied der lokalen Administratoren auf den PCs / Servern sein, wo installiert werden soll.

vor einer Stunde schrieb Bosco:

Und die Kür der Aufgabe ist, auch diesen Benutzer ohne Adminrechte zu erstellen, was meines Wissens nach, nicht gehen dürfte, wobei mein Chef da anderer Meinung ist :-(

Da wäre ggfs. der Least Privilege Manager noch ein Ansatz: https://www.policypak.com/products/least-privilege-manager.html

 

Gruß

Jan

 

Share this post


Link to post
Share on other sites

Das Anlegen von Benutzerkonten kann ein Mitglied der Sicherheitsgruppe der Kontenoperatoren.

 

Ein Mitglied der Sicherheitsgruppen der Administratoren ist uind bleibt ein Administrator.

 

Und wenn jemand Installationen vornehmen darf und kann, dann ist er ein Administrator, muss er ein Administrator sein, sonst könnten im Zuge einer Installation keine Änderungen der Registry geschehen.

Share this post


Link to post
Share on other sites

Moin,

 

die Gruppe "Konten-Operatoren" will und sollte man nicht benutzen. Sie ist insgesamt viel zu hoch berechtigt.

 

@Bosco: was du suchst, nennt sich "administrative Delegation". Wenn du keine Erfahrung damit hast, ist externe Beratung sicher sinnvoll, denn sowas wird auch in kleineren Umgebungen schnell komplex. Und es ist  natürlich sensibel in Bezug auf die Sicherheit.

 

Im ersten Schritt solltet ihr genau (!) definieren, was die Rolle denn tun bzw. können soll. Auf der Basis kann man dann prüfen, wo welche Berechtigungen nötig sind. Ob man dafür dann separate Tools braucht, lässt sich auch nur auf Basis der exakten Anforderungen bewerten.

 

Gruß, Nils

 

 

 

Share this post


Link to post
Share on other sites
vor 59 Minuten schrieb lefg:

kann ein Mitglied der Sicherheitsgruppe der Kontenoperatoren.

...die man nicht verwenden möchte, da Mitglieder dieser Gruppe von Admin-SDHolder geschützt werden und somit unerwünschte Nebeneffekte auftreten und zusätzlich diese Gruppe viel zu viele Rechte besitzt.

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

vielen Dank schon mal für die vielen Hinweise, ich glaube ich habe jetzt was zu basteln ;-)

 

Gruß

Bosco

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

bin nun einen Schritt weiter. Ich habe eine universal/Sicherheitsgruppe und einen neuen Benutzer erstellt. Den Benutzer habe ich der Gruppe zugewiesen.

Die Gruppe wiederum auf dem Server in der AD Verwaltung im Bereich Users die Objaktverwaltung mit den Optionen berechtigt:

 

Erstellen / Verwalten Benutzerkonten

Kennwörter zurücksetzen

Liest alle Benutzerinformationen

Erstellen / verwaltet Gruppen

 

Mit dem User habe ich mich nun auf einem Rechner angemeldet und lokal die Verwaltungstools aufgerufen. Leider habe ich hier keine Berechtigung?

Auch mit RDP komme ich nicht mit diesem User auf den Server. Bin ich am Server angemeldet kann ich die AD Verwaltung mit dem neuen Benutzer auch nicht starten.

Grundsätzlich kommt die Meldung, keine Berechtigung.

 

Habt ihr eine Idee?

 

Viele Grüße

Bosco

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb Bosco:

Leider habe ich hier keine Berechtigung?

Was ist "hier"? Warum solltest du per RDP auf "den" (welchen?) Server kommen? Und ja für diverse MMC Snap-Ins benötigt man mehr Berechtigungen, als ein normaler Nutzer hat. Kann man ebenfalls delegieren.

Share this post


Link to post
Share on other sites

Falls "hier" ein Default Container (Computers / Users / ...) ist, dann siehe: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-of-default-containers-and-ous

Zitat

Important

 

If you need to delegate control over users or computers, do not modify the default settings on the users and computers containers. Instead, create new OUs (as needed) and move the user and computer objects from their default containers and into the new OUs. Delegate control over the new OUs, as needed. We recommend that you not modify who controls the default containers.

 

Share this post


Link to post
Share on other sites

Ich fasse nochmal kurz mein Ziel zusammen :-)

 

Ich möchte mich mit einem Benutzer an einem Rechner anmelden, aufdem die AD Verwaltungstools installiert sind.

Dieser soll hier im AD einfache Aufgaben, wie Benutzer/Gruppen/Computer-Verwaltung übernehmen.

 

Hierzu habe ich einen neuen Standardbenutzer und eine neue universal/Sicherheit Gruppe angelegt.

Den neuen Benutzer habe ich dann der Gruppe zugeordnet.

 

Jetzt habe ich mich am AD des Servers angemeldet und habe zu dem Objekt Users die Option

"Objektverwaltung zuweisen" gewählt. Hier dann die neue Gruppe eingetragen und die oben genannten

Optionen hinzugefügt.

 

Leider funktioniert das wohl so nicht ...

 

 

 

 

 

Share this post


Link to post
Share on other sites

Zuerst mal: Nein, du willst KEINE universellen Gruppen benutzen. Nie.

Zweitens: dsa.msc bringt je nach UAC-Einstellungen zwar einen Admin-Credentials-Dialog. Da kann der User aber auch seine "normalen" Creds eingeben, dann läuft sie halt in seinem Kontext.

Drittens: Was genau funktioniert wie genau nicht? "Users" ist übrigens die falsche Gruppe - ich würde bei Delegationen nie mit automatischen Builtin-Gruppen arbeiten. Kann sein, daß es schon alleine daran liegt. Und wenn Du die Verwaltung von "Users" delegierst, dann ist damit genau gar nichts erreicht - das ist eine automatische Builtin-Gruppe, was soll da delegiert werden? Du mußt schon die Rechte auf die jeweiligen Benutzer- und Gruppen-Objekte delegieren (bzw. auf die OU, wo die sinnvollerweise drin sind).

Share this post


Link to post
Share on other sites

Guten Morgen ,

 

habe mir das noch einmal angesehen, also die Universalgruppe habe ich aus dem Grund, den NorbertFe genannt hat, ausgewählt.

 

Bei dem Ordner Users handelt es sich nicht um eine built OU, dieser wurde manuell angelegt.

 

grafik.png.162fa1ef373141ff2b680cff582b3ba3.png

 

 

10 hours ago, daabm said:

(bzw. auf die OU, wo die sinnvollerweise drin sind)

... Wäre das dann nicht die Gruppe Users, da ich ja die entsprechendne Benutzerobjekte bearbeiten möchte?

 

Wäre ja froh, wenn ich schon mal soweit kommen würde aber bei mir hakt es ja aktuell schon beim Zugriffsversuch mit meinem neuen Standardnutzer auf das AD.

 

 

Gruß

Bosco

Share this post


Link to post
Share on other sites

Moin,

 

nimm es mir nicht übel - aber es fehlen dir noch ein paar Grundlagen zum AD, die man für den Aufbau einer Berechtigungssteuerung haben sollte. Das ist nicht schlimm und lässt sich mit überschaubarem Aufwand erarbeiten, aber ohne geht es nicht. Daher noch mal der Vorschlag, dass du dir hier externe Beratung dazuholst.

 

Stichworte, mit denen du dich beschäftigen solltest:

  • Konzept der Ordner- und OU-Strukturen im AD
  • Gruppenkonzept im AD
  • Funktionsweise der Berechtigungssteuerung in Windows allgemein (ACL, SID, Access Token, Vererbung ...) und im AD speziell
  • administrative Grundlagen des AD jenseits des Tagesgeschäfts: vordefinierte Adminkonten und -Gruppen, Zuweisen administrativer Rechte
  • und dann aufbauend das Thema administrative Delegation und die Best Practices dazu

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...