itshark
Goto Top

AD Zugriff für nicht Domänen Admins

Hallo zusammen,

folgende Frage: Was mache ich falsch ;D

Ziel ist es für das 1st Level einen AD Account zu haben, der nur Userobjekte verwalten darf (anlegen, löschen, editieren, Passwörter, Mitgliedschaften etc.).
Das das über Delegation funktioniert weiß ich, habe das auch früher schon einmal gemacht, nur habe ich wohl irgendwo etwas vergessen.

Wenn der Benutzer sich per RDP auf dem DC anmeldet und das Active Directory starten will, kommt die Benutzer und Passwort Eingabe und ich weiß gerade nicht wieso?

Jemand einen Tipp?

Viele Grüße,
Ofod

Content-Key: 355732

Url: https://administrator.de/contentid/355732

Printed on: May 23, 2024 at 12:05 o'clock

Member: SlainteMhath
SlainteMhath Nov 22, 2017 at 14:57:43 (UTC)
Goto Top
Moin,

Wenn der Benutzer sich per RDP auf dem DC anmeldet
Der Benutzer, auch nicht der 1st level, sollte erst gar nicht auf dem DC anmelden... Dafür gibt's die RSAT die man sich lokal auf dem Client Rechner installieren kann.

lg,
Slainte
Member: ITShark
ITShark Nov 22, 2017 at 14:59:08 (UTC)
Goto Top
Das mir schon klar, aber es ist leider so gewünscht. Es sind ja weiterhin IT Mitarbeiter.
Member: emeriks
emeriks Nov 22, 2017 updated at 16:21:12 (UTC)
Goto Top
Hi,
Das mir schon klar, aber es ist leider so gewünscht.
Wer wünscht das? Arbeitest Du bei "Wünsch Dir was!" ?
Es sind ja weiterhin IT Mitarbeiter.
Wir sind ein ganzes Haus voller IT-Admins und niemand, niemand arbeitet direkt auf den DC's.
RSAT ist der korrekte Ansatz.

E.
Member: makaroni
makaroni Nov 22, 2017 at 20:16:58 (UTC)
Goto Top
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
Member: beschlagfuchs
beschlagfuchs Nov 23, 2017 at 07:14:00 (UTC)
Goto Top
Zitat von @makaroni:

Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.

Hi, ich habe die Weisheit nun auch nicht mit dem Löffel gefuttert...
deshalb die Frage: Warum sollte auf den DC´s nicht administriert werden?

Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?

Gruß
Member: ITShark
ITShark Nov 23, 2017 at 08:13:45 (UTC)
Goto Top
Jungs ihr seid völlig richtig und ich steh da hinter was hier gesagt wird. Ich werde es noch einmal ansprechen und dann schau ich weiter.
Member: emeriks
emeriks Nov 23, 2017 at 08:25:11 (UTC)
Goto Top
Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?
Nein, das hat damit nichts zu tun. Wenn es darum geht, dann muss man als erstes damit aufhören, dass alle mit DEM Administrator-Konto arbeiten. Da benötigt jeder sein eigenes. Aber das ist ja auch ganz normal ...

Nein, es fängt ja schon damit an, dass man den Benutzern Anmelderechte per RDP auf diesem Server erteilen muss.
Dann muss man verhindern, dass diese den DC runterfahren, neustarten oder in den Ruhemodus versetzen können.
Dann können diese die Festplatten vollmüllen, auch unabsichtlich wenn z.B. große Roaming Profiles vorhanden sind.
Internet, Druckertreiber und und und
Man muss schon sehr viel bedenken und einschränken, dass sich die Frage nach dem Aufwand-Nutzen-Verhältnis aufdrängt.
RSAT kann man auf jeden beliebigen Domain Member installieren und auch mit "Ausführen als..." starten.
Member: beschlagfuchs
beschlagfuchs Nov 23, 2017 at 08:29:51 (UTC)
Goto Top
Das mit den Benutzern kann ich verstehen. Da wir in unserer IT nur 2 Benutzer sind
kam bei uns bisher diese Frage nicht auf.

Danke.