Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory ServiceAccounts zur Administration

Mitglied: winlin

winlin (Level 2) - Jetzt verbinden

07.06.2016 um 08:25 Uhr, 887 Aufrufe, 11 Kommentare

Hallo Leute,

bei uns hat jeder seinen Useraccount der keine administrativen Rechte hat. Zudem sollen die Admins spezielle Accounts bekommen mit welchen Sie dann bestimmte Aufgaben erledigen können, z.B.
- Computer Management (anlegen, löschen etc. von Computerobjekten)
- User/Group Management (anlegen, löschen etv. von Benutzern/Gruppen)
- usw.

Nun die Frage zur Umsetzung. Ich würde z.B. eine Comp-Mgmt-Account anlegen. Dann würde ich in der OU "Computers" "delegation control" auswählen und würde diesen neuen Account das Recht erteilen computer Objekte anzulegen etc.

Wenn ich dann auf meinem Compupter eingeloggt bin und den Server Manager -> Active Directory Users and Computers öffnen will dann geht das nicht weil er diesen ja mit meinem normalen user öffnen will. Und ein runas geht auch nicht.
Wie bekomme ich es nun hin das ich mit dem neuen service account unser Active Directory Users and Computers öffne?? Ich möchte nun checken ob ich mit dem angelegten account computer objekte anlegen löschen etc. kann????

Grundsätzliche Frage:
Wenn ich in einer OU ein bestimmtes Recht erteilen will für einen Service Account dann wähle ich die OU aus gehe auf delegate control und erteile die Rechte?!?!?! Dann hat der ausgewählte User nur für die OU das entsprechende Recht???
Mitglied: AlFalcone
07.06.2016, aktualisiert um 08:33 Uhr
rechte Maustaste mit gedrückter shift Taste, öffnen als anderer Benutzer und schon kann man sich mit dem Admin Account anmelden.
Funktioniert wunderbar und ohne Probleme.
Bitte warten ..
Mitglied: winlin
07.06.2016 um 08:35 Uhr
Ziel ist es Administratoren nur in einer bestimmten OU Rechte zu erteilen.

Es gibt ein root forest, da drunter jeweils eine OU für Lokation01, Lokation02, Lokation03. Jede dieser Lokationen ist gleich aufgebaut (hat ihre Users, Groups, Computers etc.). Jede OU soll ihre eigenen Admins bekommen. Und der Admin aus 01 soll auch nur seine OU administrieren können - kann in die anderen zwar einsehen aber mehr nicht. Wie erteile ich dem Admin aus Lok01 bestimmte Rechte wie z.b. nur in seiner OU Computer Objekte, User und Gruppen anzulegen zu löschen usw.

Mit delegate control erteile ich ja die Rechte wie z.b. computer objekte anzulegen auf das gesamte forest oder?!?!?! Wie mache ich das wenn ich dann eben dem Admin aus Lok01 dieses Recht nur in seiner OU erteilen will?
Bitte warten ..
Mitglied: emeriks
07.06.2016 um 08:36 Uhr
Hi,
Nun die Frage zur Umsetzung. Ich würde z.B. eine Comp-Mgmt-Account anlegen. Dann würde ich in der OU "Computers" "delegation control" auswählen und würde diesen neuen Account das Recht erteilen computer Objekte anzulegen etc.
Noch besser wäre es, die Anzahl an Computer, die ein Nicht-Admin der Domäne hinzufügen darf, auf 1 (Minimum) zu senken und dann den Benutzern in der Domäne das Recht zum Hinzufügen von Computernzur Domäne und in der Ziel OU (nicht "Computers") das Recht zum Erstellen, Löschen, Ändern von Computer-Objekten erteilst. Wenn jemand dann einen Computer der Domäne beitreten lassen will, dann muss er erst manuell in der gewünschten OU das Computer-Objekterstellen und kann dann mit dem gleichnamigen Computer der Domäne beitreten.

Wenn ich dann auf meinem Compupter eingeloggt bin und den Server Manager -> Active Directory Users and Computers öffnen will dann geht das nicht weil er diesen ja mit meinem normalen user öffnen will. Und ein runas geht auch nicht.
Warum soll das nicht gehen? Wenn Du nicht per GPO den Nicht-Admins verweigert hast, generell die MMC starten zu dürfen, dann kann jeder Benutzer alle MMC starten. Er kann dann sicher nur im Rahmen seiner Rechte damit was ausrichten, aber starten kann er sie. Und im Fall AD Benutzer und Computer kann er dann damit zumindst fast alles im AD lesen.

Wie bekomme ich es nun hin das ich mit dem neuen service account unser Active Directory Users and Computers öffne?? Ich möchte nun checken ob ich mit dem angelegten account computer objekte anlegen löschen etc. kann????
Am PC mit diesem User anmelden?

Wenn ich in einer OU ein bestimmtes Recht erteilen will für einen Service Account dann wähle ich die OU aus gehe auf delegate control und erteile die Rechte?!?!?! Dann hat der ausgewählte User nur für die OU das entsprechende Recht???
Wenn Du es richtig machst, ja.

Tipp: "Servie Account" ist ein Fachbegriff und bezeichnet etwas ganz anderes.

E.
Bitte warten ..
Mitglied: winlin
07.06.2016 um 08:47 Uhr
Erstmal danke für dein Feedback.
Zu überlegen ist wirklich ob man für jede Tätigkeit einen eigenen Account anlegen soll oder nicht dem Admin per Delegation Control die entsprechenden Rechte zuweisen soll???? Blöd wäre es nämlich wenn er für jede admin Tätigkeit sich mit dem anderen User einloggen muss?!?!?

Oder Specht das gegen die Security???

Und bzgl delegate Control.... Wenn ich auf ou02 gehe und dort in die ou Users und dem admin04 per Delegation Control rechte zum anlegen von Usern erteile.....dann kann er nur dort User anlegen und in anderen oder übergeordneten ou nixht??? Wie kann ich das sehen wo er dieses Recht anwendet u d das es eben nur in der bestimmten ou ist???
Bitte warten ..
Mitglied: emeriks
07.06.2016 um 08:49 Uhr
Folge mal dem Hinweis von Skybird!
Bitte warten ..
Mitglied: 129413
07.06.2016, aktualisiert um 08:56 Uhr
Active Directory Benutzer und Computer >> Ansicht >> "Erweiterte Features".
Dann Kontextmenü auf Container/OU ->> Eigenschaften >> Tab "Sicherheit"

Delegate Control ist nichts anderes als ACLs auf die AD Objekte/Container zu vergeben, genau wie im Dateisystem auch.
Bitte warten ..
Mitglied: KowaKowalski
07.06.2016, aktualisiert um 10:16 Uhr
Hallo Winlin,

bist Du sicher das Du die Dienstkonten richtig verstanden hast?

Das sind keine Konten mit denen sich ein Benutzer/Admin einloggt!

Mit freundlichen Grüßen
kowa

Update: emerics link erklärt Dir was das ist
Bitte warten ..
Mitglied: winlin
07.06.2016 um 10:25 Uhr
ja genau so werde ich das jetzt auch machen - super vielen Dank. Infos waren echt hilfreich.

Was würdet ihr empfehlen - soll ich für jeden Task (User anlegen, Computerobjekte anlegen, GPO verwalten etc.) eigene User anlegen. Oder soll ich die verschiedenen tasks den jeweiligen Admins zuweisen (also auf deren Adminaccounts)???
Bitte warten ..
Mitglied: BirdyB
07.06.2016 um 10:53 Uhr
Ich würde mit Gruppen arbeiten...
Bitte warten ..
Mitglied: emeriks
07.06.2016, aktualisiert um 12:12 Uhr
Was würdet ihr empfehlen - soll ich für jeden Task (User anlegen, Computerobjekte anlegen, GPO verwalten etc.) eigene User anlegen. Oder soll ich die verschiedenen tasks den jeweiligen Admins zuweisen (also auf deren Adminaccounts)???
Würdest Du Dich jedesmal mit einem anderen Benutzer anmelden wollen, wenn Du eine andere Aufgabe erledigen willst/musst?

pro Admin-Mitarbeiter
  • 1 "normal" Konto --> Nicht-Admin
  • 1 Admin-Konto mit allen delegierten Rechten
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst Frage von opc123Exchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

TK-Netze & Geräte

Administration Alcatel Telefonanlage

gelöst Frage von malungoTK-Netze & Geräte7 Kommentare

Hallo, ich hätte eine kurze Frage an die Telefonanlagen-Experten: Ein Bekannter (5 Mann Betrieb) hat eine Telefonanlage (wahrscheinlich Alcatel-Lucent ...

Hyper-V

VHost Domänenbeitritt und Administration

Frage von JudgeDreddHyper-V7 Kommentare

Hallo Zusammen, überwiegend zu Lernzwecken, habe ich mich entschlossen, im privaten Umfeld einen vHost aufzusetzen. Aufgrund der besseren Hardwareunterstützung ...

Windows Server

Administration von Windows Defender Antivirus

gelöst Frage von honeybeeWindows Server1 Kommentar

Hallo, kann man den Windows Defender Antivirus per GPO unter Windows Server 2016 zentral administrieren? Der Pfad existiert in ...

Neue Wissensbeiträge
Windows 10

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Tipp von beidermachtvongreyscull vor 2 StundenWindows 10

Moin Kollegen, ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf ...

Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 5 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 6 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 6 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless19 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server18 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

LAN, WAN, Wireless
Netzwerkproblem: Datendurchsatz von Internetverbindung zu gering - wer ist schuld?
Frage von BlubbNRWLAN, WAN, Wireless15 Kommentare

Hallo Zusammen, man stelle sich folgende Situation vereinfacht vor: In einem Raum befinden sich 30 aktuelle Desktopcomputer (Windows 10, ...