2021-09-01
3471
9
0Abstufungen Administratoren im AD
Hallöchen allerseits
Bei uns im Betrieb haben mittlerweile 7 Benutzer Domain Adminrechte, diese sind zum normalen 0815 Benutzer zusätzliche Konten man muss sich mit dem anderen Adminkonto einloggen um etwas zu machen, ansonsten hat man normale Anwenderrechte wie alle anderen auch.
Nun soll aus Sicherheitsgründen der Domain Admin Zugriff auf maximal 2 Benutzer eingeschränkt werden, die anderen müssten nur sich auf einen Server via RDP verbinden können und dort mal einen Dienst starten und stoppen, auf den Clients zb. Software installieren, modifizieren oder deinstallieren. Welche Stufe wäre hierfür ideal? Diese müssen keine AD Gruppen, Benutzer oder Passwörter verwalten, wie kann ich das am idealsten lösen damit obige Anforderungen noch möglich sind ?
Bei uns im Betrieb haben mittlerweile 7 Benutzer Domain Adminrechte, diese sind zum normalen 0815 Benutzer zusätzliche Konten man muss sich mit dem anderen Adminkonto einloggen um etwas zu machen, ansonsten hat man normale Anwenderrechte wie alle anderen auch.
Nun soll aus Sicherheitsgründen der Domain Admin Zugriff auf maximal 2 Benutzer eingeschränkt werden, die anderen müssten nur sich auf einen Server via RDP verbinden können und dort mal einen Dienst starten und stoppen, auf den Clients zb. Software installieren, modifizieren oder deinstallieren. Welche Stufe wäre hierfür ideal? Diese müssen keine AD Gruppen, Benutzer oder Passwörter verwalten, wie kann ich das am idealsten lösen damit obige Anforderungen noch möglich sind ?
Comment
Share
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 1217079688
Url: https://administrator.de/forum/abstufungen-administratoren-im-ad-1217079688.html
Printed on: July 18, 2025 at 08:07 o'clock
9 Comments
Latest comment
Hallo,
am besten wäre, du legst für die Nutzer die solche Arbeiten durchführen sollen ein lokales Administrator Konto auf den entsprechenden Geräten an.
am besten wäre, du legst für die Nutzer die solche Arbeiten durchführen sollen ein lokales Administrator Konto auf den entsprechenden Geräten an.
Moin,
lokale Administratoren sind in meinen Augen Quatsch. Ich würde die bisherigen Accounts beibehalten und im Benutzer-Objekt im Reiter Konto die benötigten Server unter "Anmelden an" zu definieren.
Vorteil: Du kannst als Administrator das Ganze zentral steuern, kannst schnell die Rechte auf andere Server erweitern und deine Anwender haben ein Kennwort für alle Server. Aber Achtung: Bei RDP erfolgt die Kennworteingabe am Client und wird zum Server übermittelt. Es muss daher der Client von dem man sich anmeldet, als auch der Server auf dem man sich anmeldet unter "Anmelden an" eingetragen werden.
Gruß
Doskias
lokale Administratoren sind in meinen Augen Quatsch. Ich würde die bisherigen Accounts beibehalten und im Benutzer-Objekt im Reiter Konto die benötigten Server unter "Anmelden an" zu definieren.
Vorteil: Du kannst als Administrator das Ganze zentral steuern, kannst schnell die Rechte auf andere Server erweitern und deine Anwender haben ein Kennwort für alle Server. Aber Achtung: Bei RDP erfolgt die Kennworteingabe am Client und wird zum Server übermittelt. Es muss daher der Client von dem man sich anmeldet, als auch der Server auf dem man sich anmeldet unter "Anmelden an" eingetragen werden.
Gruß
Doskias
Hier hilft ein einfaches 0815 Berechtigungskonzept. IT-Grundschutz lässt grüßen.
Zitat von @148656:
Hier hilft ein einfaches 0815 Berechtigungskonzept. IT-Grundschutz lässt grüßen.
Hier hilft ein einfaches 0815 Berechtigungskonzept. IT-Grundschutz lässt grüßen.
+1 für das Berechtigungskonzept, eine der Grundlagen für einen sicheren IT Betrieb.
/Thomas
Moin,
Keine gute Idee. Nehmt drei. Denn wenn der eine im Urlaub ist, wird der zweite mit Sicherheit krank, wenn Ihr nur zwei habt.
Eine klassische Variante wäre die: Im AD wird eine Gruppe z. B. local_admins erstellt. In die Gruppe kommen die User, die lokale Adminrechte haben sollen (weiterhin ein zweiter Username ist eine gute Idee). Diese Gruppe fügst Du dann in die Gruppe "Administratoren" der Clients ein, auf denen diese User die Rechte brauchen und gut ist.
Dann gibt es noch eine etwas aufwendigere Lösung, die @DerWoWusste (glaube ich) mal hier beschrieben hat. Einfach mal in den Anleitungen suchen.
Liebe Grüße
Erik
Zitat von @uridium69:
Nun soll aus Sicherheitsgründen der Domain Admin Zugriff auf maximal 2 Benutzer eingeschränkt werden, die
Nun soll aus Sicherheitsgründen der Domain Admin Zugriff auf maximal 2 Benutzer eingeschränkt werden, die
Keine gute Idee. Nehmt drei. Denn wenn der eine im Urlaub ist, wird der zweite mit Sicherheit krank, wenn Ihr nur zwei habt.
anderen müssten nur sich auf einen Server via RDP verbinden können und dort mal einen Dienst starten und stoppen, auf den Clients zb. Software installieren, modifizieren oder deinstallieren. Welche Stufe wäre hierfür ideal?
Eine klassische Variante wäre die: Im AD wird eine Gruppe z. B. local_admins erstellt. In die Gruppe kommen die User, die lokale Adminrechte haben sollen (weiterhin ein zweiter Username ist eine gute Idee). Diese Gruppe fügst Du dann in die Gruppe "Administratoren" der Clients ein, auf denen diese User die Rechte brauchen und gut ist.
Dann gibt es noch eine etwas aufwendigere Lösung, die @DerWoWusste (glaube ich) mal hier beschrieben hat. Einfach mal in den Anleitungen suchen.
Liebe Grüße
Erik
Hi
Arbeite das durch und du hast eine sinnvolle Lösung:
frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherh ...*1539d40*_ga*a1FQNEIzMk1rSFJSbnp2YklGVm9JMVZlMlpZNC1KOExnRGJZdks4S2EwdE9vTjdTQVQyeXNkSU1UdlMySXpzQQ..
Tier Administration, entsprechende Workstation und LAPS.
Aufwand von wenigen Stunden.
Doku nicht vergessen
.
Mit freundlichen Grüßen Nemesis
Arbeite das durch und du hast eine sinnvolle Lösung:
frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherh ...*1539d40*_ga*a1FQNEIzMk1rSFJSbnp2YklGVm9JMVZlMlpZNC1KOExnRGJZdks4S2EwdE9vTjdTQVQyeXNkSU1UdlMySXpzQQ..
Tier Administration, entsprechende Workstation und LAPS.
Aufwand von wenigen Stunden.
Doku nicht vergessen
.Mit freundlichen Grüßen Nemesis
Hi.
Denk auch an Vertreterregelungen. Es gibt ja auch noch den eingebauten Domänenadmin "Administrator", den ebenso bitte nicht vergessen. Selbst wenn man den deaktiviert - im abgesicherten Modus ist er zugänglich. Zudem kann sich jeder, der einen Domänencontroller von einem Bootmedium starten darf, im Handumdrehen zum Domänenadmin machen - den DC wegzuschließen oder zu verschlüsseln ist Pflicht.
Bei uns im Betrieb haben mittlerweile 7 Benutzer Domain Adminrechte... Nun soll aus Sicherheitsgründen der Domain Admin Zugriff auf maximal 2 Benutzer eingeschränkt werden
Oh. Ein klassischer Fall von "Sicherheit im Nachhinein einbauen" - das gelingt nicht immer. Du kannst nicht garantieren, dass sich die 7 nicht schon dauerhaft "die Macht gesichert haben" durch wie auch immer geartete Tricks.Denk auch an Vertreterregelungen. Es gibt ja auch noch den eingebauten Domänenadmin "Administrator", den ebenso bitte nicht vergessen. Selbst wenn man den deaktiviert - im abgesicherten Modus ist er zugänglich. Zudem kann sich jeder, der einen Domänencontroller von einem Bootmedium starten darf, im Handumdrehen zum Domänenadmin machen - den DC wegzuschließen oder zu verschlüsseln ist Pflicht.
...die anderen müssten nur sich auf einen Server via RDP verbinden können und dort mal einen Dienst starten und stoppen
Du kannst auf den Diensten selbst Rechte vergeben, z.B. mittels Powershell oder subinacl.exe oder GPOs....auf den Clients zb. Software installieren, modifizieren oder deinstallieren. Welche Stufe wäre hierfür ideal?
Stufe? Es gibt keine Stufen im AD. Du kannst entweder eine globale Gruppe "Workstation-Admins" erstellen (wovon ich abrate), oder stattdessen mein Konzept ansehen: Sicherer Umgang mit SupportkontenZitat von @DerWoWusste:
Stufe? Es gibt keine Stufen im AD. Du kannst entweder eine globale Gruppe "Workstation-Admins" erstellen (wovon ich abrate), oder stattdessen mein Konzept ansehen: Sicherer Umgang mit Supportkonten
Stufe? Es gibt keine Stufen im AD. Du kannst entweder eine globale Gruppe "Workstation-Admins" erstellen (wovon ich abrate), oder stattdessen mein Konzept ansehen: Sicherer Umgang mit Supportkonten
Den Artikel meinte ich.