Jump to content

Eingeschränkte Administrator Gruppe


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich möchte für Support-Mitarbeiter eine Gruppe anlegen damit sie je folgende Aufgaben durchführen können:

- User und Gruppen anlegen/löschen - Gruppen/User anderen Gruppen zuordnen

- Computer accounts löschen

- DNS einträge verwalten

- DHCP verwalten (u.a. Reservierungen managen)

- Group Policy verwalten

 

Ich möchte vermeiden diese Gruppe einfach den "Domain Admins" zuzuordnen da man damit uneingeschränkte Rechte bekommt (nich nur in der Domain sondern auf allen Clients und Serverv)

 

Welche Möglichkeiten stehen hierbei zur Verfügung? Kann zB. man gewisse OU Zweige für Gruppen zur Verwaltung freigeben?

Wie wird das in großen Organisationen gemacht?

Link zu diesem Kommentar

Du suchst Delegation. Dazu gibts ca. 1000 How Tos. :) Bevor man aber alles an eine Gruppe delegiert, sollte man überlegen, ob es nicht sinnvoller ist, die Aufgaben einzeln zu delegieren. Also jeden deiner Stichpunkte einzeln anstatt alles an eine Gruppe.

https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/

http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/

 

Domänenadmins haben auf Clients und "Nicht-DCs" nichts zu suchen. Das kannst du dann gleich mit beheben und ihnen die Anmeldung verweigern.

 

Edit sagt: Dokumentation jeder einzelnen Berechtigungsvergabe nicht vergessen.

 

bearbeitet von NorbertFe
Link zu diesem Kommentar

Danke für die schnellen und Umfangreichen Antworten. Ich werde mir die Links mal ansehen und in das Thema einlesen - ich habe es glaube ich in meiner Laufbahn schon mal gestreift aber nicht beachtet da zu dem Zeitpunkt kein Bedarf war.

 

Zum Thema DomAdmins und Clients (danke auch für den Tipp):

Vereinfacht gesagt würde das bedeuten die Domain Admins aus der lokalen Administartors Gruppe entfernen aber trotzdem eine Gruppe wie zB. ClientAdmins od. ServerAdmins drin lassen und diesen Gruppen nur bei Bedarf und kontrolliert User/Gruppen zuordnen - korrekt?

Link zu diesem Kommentar

Hi,

 

vor 1 Stunde schrieb codeslayer:

Zum Thema DomAdmins und Clients (danke auch für den Tipp):

Vereinfacht gesagt würde das bedeuten die Domain Admins aus der lokalen Administartors Gruppe entfernen aber trotzdem eine Gruppe wie zB. ClientAdmins od. ServerAdmins drin lassen und diesen Gruppen nur bei Bedarf und kontrolliert User/Gruppen zuordnen - korrekt?

wenn man schonmal dabei ist: What you can do, should do and should NOT do with GPOs: Wer bin ich und was darf ich - Gruppenmitgliedschaften und Benutzerrechte (evilgpo.blogspot.com)

 

Alternativ sollte man damit auch "einfach" ClientAdmins auf PCs bekommen. :)

 

Gruß

Jan

Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...