Jump to content

Eingeschränkte Administrator Gruppe


Recommended Posts

Hallo,

ich möchte für Support-Mitarbeiter eine Gruppe anlegen damit sie je folgende Aufgaben durchführen können:

- User und Gruppen anlegen/löschen - Gruppen/User anderen Gruppen zuordnen

- Computer accounts löschen

- DNS einträge verwalten

- DHCP verwalten (u.a. Reservierungen managen)

- Group Policy verwalten

 

Ich möchte vermeiden diese Gruppe einfach den "Domain Admins" zuzuordnen da man damit uneingeschränkte Rechte bekommt (nich nur in der Domain sondern auf allen Clients und Serverv)

 

Welche Möglichkeiten stehen hierbei zur Verfügung? Kann zB. man gewisse OU Zweige für Gruppen zur Verwaltung freigeben?

Wie wird das in großen Organisationen gemacht?

Link to post

Du suchst Delegation. Dazu gibts ca. 1000 How Tos. :) Bevor man aber alles an eine Gruppe delegiert, sollte man überlegen, ob es nicht sinnvoller ist, die Aufgaben einzeln zu delegieren. Also jeden deiner Stichpunkte einzeln anstatt alles an eine Gruppe.

https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/

http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/

 

Domänenadmins haben auf Clients und "Nicht-DCs" nichts zu suchen. Das kannst du dann gleich mit beheben und ihnen die Anmeldung verweigern.

 

Edit sagt: Dokumentation jeder einzelnen Berechtigungsvergabe nicht vergessen.

 

Edited by NorbertFe
Link to post

Um Norberts Post anders zu formulieren: Es gibt Rechtegruppen, die haben Rechte. Und es gibt Rollengruppen, da sind User drin. Die Rollengruppen werden Mitglied der jeweils erforderlichen Rechtegruppen.

Das mit den DomAdmins und den Clients kann ich nur unterschreiben - Tier-Trennung...

Link to post

Danke für die schnellen und Umfangreichen Antworten. Ich werde mir die Links mal ansehen und in das Thema einlesen - ich habe es glaube ich in meiner Laufbahn schon mal gestreift aber nicht beachtet da zu dem Zeitpunkt kein Bedarf war.

 

Zum Thema DomAdmins und Clients (danke auch für den Tipp):

Vereinfacht gesagt würde das bedeuten die Domain Admins aus der lokalen Administartors Gruppe entfernen aber trotzdem eine Gruppe wie zB. ClientAdmins od. ServerAdmins drin lassen und diesen Gruppen nur bei Bedarf und kontrolliert User/Gruppen zuordnen - korrekt?

Link to post

Hi,

 

vor 1 Stunde schrieb codeslayer:

Zum Thema DomAdmins und Clients (danke auch für den Tipp):

Vereinfacht gesagt würde das bedeuten die Domain Admins aus der lokalen Administartors Gruppe entfernen aber trotzdem eine Gruppe wie zB. ClientAdmins od. ServerAdmins drin lassen und diesen Gruppen nur bei Bedarf und kontrolliert User/Gruppen zuordnen - korrekt?

wenn man schonmal dabei ist: What you can do, should do and should NOT do with GPOs: Wer bin ich und was darf ich - Gruppenmitgliedschaften und Benutzerrechte (evilgpo.blogspot.com)

 

Alternativ sollte man damit auch "einfach" ClientAdmins auf PCs bekommen. :)

 

Gruß

Jan

Link to post
  • 2 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...