fisi2412
Goto Top

AD Konto zu Autorisierung nicht zur Anmeldung

Einmal mehr einen schönen guten Tag liebes Forum.
Ich bin grade neu im Thema Active Directory
Der Umfang des Themas ist doch wirklich erschlagend und so Recht (in der vom Chef gewünschten Zeit) komme ich nicht voran.

Die Aufgabe ist folgendes: Bisher ist er (Chef) der einzige Administrator in der Firma und nun gibt es jetzt noch einen neuen Fisi und Mich (Praktiktant).

Ich soll nun eine Rolle Planen bzw herausfinden, welche eventuell voreingestellte denn die Passende ist.

Die neue Rolle soll Dinge wie das installieren bzw deinstallieren von Programmen können, allerding keinen vollen zugriff auf die Domäne haben, so dass ihm dort keiner herein pfuschen könnte oder in der Domäne sonstwie Chaos verursacht.

Konkretes Beispiel von heute: Es benötigt Administrative Rechte, eine Verknüpfung zu löschen, welche zugriff auf einen Versteckten Ordner auf einem Netzlaufwerk gewährt.

Außerdem soll der Angelegte Nutzer mit diesen Rechten sich nicht an den lokalen Computern anmelden können, sondern lediglich als Nutzer Samt Passwort eingegeben werden können, wenn eine Passwortabfrage die administrativen Rechte abfragt.

Da das ganze sich nun als sehr Umfangreich herausstellt und der Chef dennoch zeitnah Resultate haben will, wende ich mich an euch, da mir gerade so von der Selbstrecherche ein wenig der Ansatzpunkt fehlt und mir gerade dadurch die Zeit fehlt, das Zeitnah herauszufinde.

Liebe Grüße,
Fisi

Content-ID: 6019950453

Url: https://administrator.de/forum/ad-konto-zu-autorisierung-nicht-zur-anmeldung-6019950453.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Manforall
Manforall 17.02.2023 um 13:52:20 Uhr
Goto Top
Hallo Fisi,

konkret kann ich dir nicht weiter helfen, jedoch haben wir mit einem zeitlich laufenden Admin gearbetet.
Dies haben mir mit Microsoft LAPS gemacht.

Für das installieren und deinstallieren der Programme würde Microsft Intune verwenden.

Gruß
FISI2412
FISI2412 17.02.2023 um 14:07:37 Uhr
Goto Top
Zitat von @Manforall:

Hallo Fisi,

konkret kann ich dir nicht weiter helfen, jedoch haben wir mit einem zeitlich laufenden Admin gearbetet.
Dies haben mir mit Microsoft LAPS gemacht.

Für das installieren und deinstallieren der Programme würde Microsft Intune verwenden.

Gruß

Also, wenn ich das richtig verstanden habe, sind das beide Cloudlösungen und zumindest meinem Suchergebniss nach ist LAPS nur für WIndows 11?

Ist allerdings auch mein Fehler nicht zu erwähnen das wir Win10 nutzen und an sich einen on-premise xchange und auch der AD Server ein Lokales Gerät und Seitens der Geschäftsführung die Anbindung an die Cloud Dienste von Microsoft nicht gewünscht ist.
Manforall
Manforall 17.02.2023 um 14:17:02 Uhr
Goto Top
Also Microsoft LAPS kannst du auch auf deinem DC laufen lassen. Und es geht mit Windows 10
DerWoWusste
DerWoWusste 17.02.2023 aktualisiert um 14:36:45 Uhr
Goto Top
Hi.

Ich versuche immer bestmöglich konstruktiv zu helfen, aber das wird hier schwierig, denn: das ist auf keinen Fall eine Aufgabe für einen Praktikanten. Schon die Idee, die Planung/Umsetzung dem Praktikanten zu überlassen zeigt, dass der Chef verquere Vorstellungen von Sicherheit hat.

Aber gut, schau Dir das mal an: Tipp zur Nutzung von Zweitaccounts unter Windows ->Merke: damit ist es möglich, ein Konto zu haben, mit dem man sichg nicht interaktiv anmelden kann!
->Habt Ihr eine CA, ist das in wenigen Minuten umgesetzt. Habt Ihr keine, muss sich ein weiterer Praktikant finden, der sich um deren Planung und Aufsetzung kümmert face-plain
FISI2412
FISI2412 17.02.2023 um 14:53:06 Uhr
Goto Top
Naja gut ich bin auch in der Ausbildung zum Fisi, aber bisher in einer rein Schulischen umgebung und das hier ist jetz eben umd Berufserfahrungs zu sammeln, die einem eine trockene Schule dann doch nicht wirklich bietet.

Dennoch ist das grade in mächtiges Thema, das mich zum schwitzen bringt :D Danek auf jeden Fall du hast mir hier schon ein paar mal geholfen face-smile
Zitat von @DerWoWusste:

Hi.

Ich versuche immer bestmöglich konstruktiv zu helfen, aber das wird hier schwierig, denn: das ist auf keinen Fall eine Aufgabe für einen Praktikanten. Schon die Idee, die Planung/Umsetzung dem Praktikanten zu überlassen zeigt, dass der Chef verquere Vorstellungen von Sicherheit hat.

Aber gut, schau Dir das mal an: Tipp zur Nutzung von Zweitaccounts unter Windows ->Merke: damit ist es möglich, ein Konto zu haben, mit dem man sichg nicht interaktiv anmelden kann!
->Habt Ihr eine CA, ist das in wenigen Minuten umgesetzt. Habt Ihr keine, muss sich ein weiterer Praktikant finden, der sich um deren Planung und Aufsetzung kümmert face-plain
Manforall
Manforall 17.02.2023 um 15:00:49 Uhr
Goto Top
So läuft das aber leider oft mit Azubis oder Umschülern... Um erhlich zu sein, solltest du das deinen Chef fragen können was er sich ca. vorstellt.
Ins Kalte Wasser schmeißen ist i.o. aber so finde ich zu heftig.
FISI2412
FISI2412 17.02.2023 aktualisiert um 15:30:40 Uhr
Goto Top
Zitat von @Manforall:

So läuft das aber leider oft mit Azubis oder Umschülern... Um erhlich zu sein, solltest du das deinen Chef fragen können was er sich ca. vorstellt.
Ins Kalte Wasser schmeißen ist i.o. aber so finde ich zu heftig.

Ja bin Umschüler und ja finde das grade heftig, aber ich will mich da ja auch durchbeißen und selbst forschen und vor allem nicht ständig wie ein Depp da stehen, da man ja schon gerne am Schluss auch eine Arbeit hätte.... daher will ich vermeiden ständig zu ihm zu rennen.

Die on mir gemachten angaben waren seine Vorstellungen, eben: Muss sich nicht einloggen können, soll nur der autorisierung dienen und eben keinen Eingriff in die Struktur der AD haben nehmen können, allerdings andere Dinge installieren.
Th0mKa
Th0mKa 18.02.2023 um 13:01:32 Uhr
Goto Top
Zitat von @Manforall:

Also Microsoft LAPS kannst du auch auf deinem DC laufen lassen. Und es geht mit Windows 10

Microsoft LAPS läuft (aktuell) nicht auf Windows 10, das was du meinst ist Windows LAPS.

/Thomas