11
Rechtevergabe für Administrator auf Domaincontroller vs UAC
Hallo zusammen,
ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?
Danke für sachdienliche Hinweise
ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?
Danke für sachdienliche Hinweise
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 604534
Url: https://administrator.de/contentid/604534
Printed on: April 23, 2024 at 14:04 o'clock
11 Comments
Latest comment
Hallo,
Das hat mit der UAC nichts zu tun. Nimm den Admin in die Domain-Benutzer Gruppe auf oder vergib das Recht halt auf anderem Wege explizit.
Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.
Grüße
lcer
Das hat mit der UAC nichts zu tun. Nimm den Admin in die Domain-Benutzer Gruppe auf oder vergib das Recht halt auf anderem Wege explizit.
Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.
Grüße
lcer
Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.
Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Zitat von @Aubanan:
Hallo zusammen,
ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?
Danke für sachdienliche Hinweise
Hallo zusammen,
ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?
Danke für sachdienliche Hinweise
Ich verstehe das Problem nicht so ganz. Für mich stellt es sich so dar, als wenn Deine Berechtigungsstruktur etwas undurchdacht ist. Übernehme den Besitz auf alle Ordner und Dateien auf den Freigaben und passe sie dann den Anforderungen an. Dann hat der Domänenadmin (so der denn den Besitz übernimmt) auf alles Zugriff und die Benutzer nur auf das, was Du explizit freigegeben hast.
Zitat von @Looser27:
Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Richtig. Soll, im Idealfall, aber nicht so sein.
🖖
Zitat von @Looser27:
Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Von SBS hat der TO nichts geschrieben.Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.
Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Grüße
lcer
Hi.
Ja, ist wegen der UAC so.
Best practice ist, eine Gruppe Fileserveradmins zu erstellen und der Gruppe Vollzugriff zu geben. In diese Gruppe packst Du namentlich alle erforderlichen Admins rein. Nicht etwa die Gruppe Domänenadmins, sondern die einzelnen User.
PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert. Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.
Ja, ist wegen der UAC so.
Best practice ist, eine Gruppe Fileserveradmins zu erstellen und der Gruppe Vollzugriff zu geben. In diese Gruppe packst Du namentlich alle erforderlichen Admins rein. Nicht etwa die Gruppe Domänenadmins, sondern die einzelnen User.
PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert. Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.
Zitat von @DerWoWusste:
PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert.
PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert.
Ja, und am Besten wirft man gleich alle wichtigen Dateien ins Sysvol, weil dieses ja auf allen DCs repliziert wird
Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.
Nö, kein Stück unsicherer
Die Nutzer werden mit den E-Mail-Anhängen die sie künftig auf den Domänencontrollern ablegen effektiv zur Sicherheit der Domäne beitragen.
Hallo Ad39min.
ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden. Solltest Du wirklich auf DFS hinauswollen, da dieses ja Dateien liest und repliziert, dann geb ich dir Recht: man sollte zumindest die DFS-Freigaben auf dem DC nicht von Usern nutzen lassen (was sie per default auch nicht sind).
Die Nutzer werden mit den E-Mail-Anhängen die sie künftig auf den Domänencontrollern ablegen effektiv zur Sicherheit beitragen.
Wenn Du meinst, dass Du als Admin in Verlockung gerätst, die schädlichen E-Mailanhänge auszuführen, wenn am DC angemeldet, dann gebe ich Dir Recht, andernfalls ist das wumpe und das weißt Du vermutlich auch. Nein, wir selber machen das nicht so ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden. Solltest Du wirklich auf DFS hinauswollen, da dieses ja Dateien liest und repliziert, dann geb ich dir Recht: man sollte zumindest die DFS-Freigaben auf dem DC nicht von Usern nutzen lassen (was sie per default auch nicht sind).
Danke für eure Posts. Da scheint es ja doch noch etwas unterschiedliche Meinungen zu geben
Mein Problem ist, und damit hatten wohl auch schon andere zu tun, dass
1. auf einem DC keine lokalen Konten möglich sind.
2. mein selbst angelegter Dadmin trotz Mitglied in der Gruppe der Administratoren und Domain-Admins grundsätzlich auf dem DC im User Kontext arbeitet, solange nicht ausdrücklich elevated wird, was beim Explorer schwer fällt, da der eh ständig an ist.
Den Dadmin in die Gruppe der Domain-User zu packen, hilft mir nichts. Die Domain-User sollen ja genau keinen allumfänglichen Zugriff auf die Platte haben. Der Dadmin aber schon.
Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2. immer noch besteht. Ist aber schonmal ein Ansatz.
Zusätzlich müsste die UAC deaktivert werden - soweit ich das sehe.
Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren. Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Dann würde ich aber auch gerne den Filserver als (früher hätte man gesagt) BDC laufen lassen. Oder bringt mir das dann wieder die gleichen Probleme insbesondere 1.?
Mein Problem ist, und damit hatten wohl auch schon andere zu tun, dass
1. auf einem DC keine lokalen Konten möglich sind.
2. mein selbst angelegter Dadmin trotz Mitglied in der Gruppe der Administratoren und Domain-Admins grundsätzlich auf dem DC im User Kontext arbeitet, solange nicht ausdrücklich elevated wird, was beim Explorer schwer fällt, da der eh ständig an ist.
Den Dadmin in die Gruppe der Domain-User zu packen, hilft mir nichts. Die Domain-User sollen ja genau keinen allumfänglichen Zugriff auf die Platte haben. Der Dadmin aber schon.
Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2. immer noch besteht. Ist aber schonmal ein Ansatz.
Zusätzlich müsste die UAC deaktivert werden - soweit ich das sehe.
Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren. Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Dann würde ich aber auch gerne den Filserver als (früher hätte man gesagt) BDC laufen lassen. Oder bringt mir das dann wieder die gleichen Probleme insbesondere 1.?
Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2.immer noch besteht...
Doch, das reicht. Du vergisst vermutlich den Nutzer neu anzumelden, damit die Gruppenmitgliedschaft neu eingelesen wird.Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren.
Ja, wenn ihr einen zweiten Server wollt, ist das natürlich besser.Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Nein, das bringt keinen Erfolg, selbes "Problem".
Zitat von @DerWoWusste:
Nein, wir selber machen das nicht so ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden.
Nein, wir selber machen das nicht so
ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden.Alle Angriffe, die auf dem automatisierten Parsen der dort abgelegten Dateien beruhen, z.B. gegen ntfs.sys, Explorer.exe und Defender.
Grüße
Richard
Alle Angriffe, die auf dem automatisierten Parsen der dort abgelegten Dateien beruhen, z.B. gegen ntfs.sys, Explorer.exe und Defender.
So ist es. Nun sind das aber eher Spezialangriffe, die bei Firmen, die so klein sind, dass sie überhaupt in die Verlegenheit kommen, DC und Fileserver zusammenzulegen, wahrscheinlich in der Gemengelage der Sicherheitsrisiken unter "ferner liefen" rangieren.Aber nochmal deutlich: nein, ich lege niemandem nahe, es so zu machen.
