itshark
Goto Top

AD Zugriff für nicht Domänen Admins

Hallo zusammen,

folgende Frage: Was mache ich falsch ;D

Ziel ist es für das 1st Level einen AD Account zu haben, der nur Userobjekte verwalten darf (anlegen, löschen, editieren, Passwörter, Mitgliedschaften etc.).
Das das über Delegation funktioniert weiß ich, habe das auch früher schon einmal gemacht, nur habe ich wohl irgendwo etwas vergessen.

Wenn der Benutzer sich per RDP auf dem DC anmeldet und das Active Directory starten will, kommt die Benutzer und Passwort Eingabe und ich weiß gerade nicht wieso?

Jemand einen Tipp?

Viele Grüße,
Ofod

Content-ID: 355732

Url: https://administrator.de/forum/ad-zugriff-fuer-nicht-domaenen-admins-355732.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

SlainteMhath
SlainteMhath 22.11.2017 um 15:57:43 Uhr
Goto Top
Moin,

Wenn der Benutzer sich per RDP auf dem DC anmeldet
Der Benutzer, auch nicht der 1st level, sollte erst gar nicht auf dem DC anmelden... Dafür gibt's die RSAT die man sich lokal auf dem Client Rechner installieren kann.

lg,
Slainte
ITShark
ITShark 22.11.2017 um 15:59:08 Uhr
Goto Top
Das mir schon klar, aber es ist leider so gewünscht. Es sind ja weiterhin IT Mitarbeiter.
emeriks
emeriks 22.11.2017 aktualisiert um 17:21:12 Uhr
Goto Top
Hi,
Das mir schon klar, aber es ist leider so gewünscht.
Wer wünscht das? Arbeitest Du bei "Wünsch Dir was!" ?
Es sind ja weiterhin IT Mitarbeiter.
Wir sind ein ganzes Haus voller IT-Admins und niemand, niemand arbeitet direkt auf den DC's.
RSAT ist der korrekte Ansatz.

E.
makaroni
makaroni 22.11.2017 um 21:16:58 Uhr
Goto Top
Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.
beschlagfuchs
beschlagfuchs 23.11.2017 um 08:14:00 Uhr
Goto Top
Zitat von @makaroni:

Ich gebe meinen Vorrednern Recht. Auf Domain Controllern wird nicht administriert.

Hi, ich habe die Weisheit nun auch nicht mit dem Löffel gefuttert...
deshalb die Frage: Warum sollte auf den DC´s nicht administriert werden?

Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?

Gruß
ITShark
ITShark 23.11.2017 um 09:13:45 Uhr
Goto Top
Jungs ihr seid völlig richtig und ich steh da hinter was hier gesagt wird. Ich werde es noch einmal ansprechen und dann schau ich weiter.
emeriks
emeriks 23.11.2017 um 09:25:11 Uhr
Goto Top
Geht es um die Nachverfolgbarkeit, wer welche Änderungen durchgeführt hat?
Nein, das hat damit nichts zu tun. Wenn es darum geht, dann muss man als erstes damit aufhören, dass alle mit DEM Administrator-Konto arbeiten. Da benötigt jeder sein eigenes. Aber das ist ja auch ganz normal ...

Nein, es fängt ja schon damit an, dass man den Benutzern Anmelderechte per RDP auf diesem Server erteilen muss.
Dann muss man verhindern, dass diese den DC runterfahren, neustarten oder in den Ruhemodus versetzen können.
Dann können diese die Festplatten vollmüllen, auch unabsichtlich wenn z.B. große Roaming Profiles vorhanden sind.
Internet, Druckertreiber und und und
Man muss schon sehr viel bedenken und einschränken, dass sich die Frage nach dem Aufwand-Nutzen-Verhältnis aufdrängt.
RSAT kann man auf jeden beliebigen Domain Member installieren und auch mit "Ausführen als..." starten.
beschlagfuchs
beschlagfuchs 23.11.2017 um 09:29:51 Uhr
Goto Top
Das mit den Benutzern kann ich verstehen. Da wir in unserer IT nur 2 Benutzer sind
kam bei uns bisher diese Frage nicht auf.

Danke.