Admin mit eingeschränkten Zugriff

Hallo zusammen,

ich habe von einem Kollegen die Aufgabe bekommen, einen eingeschränkten Domänen Admin anzulegen, der im grunde genommen alles kann, außer die Verwaltung des AD und des Exchange.

Hintergrund: Derzeit Arbeiten mehrere Kollegen mit einem einzigen Account, der ja auch noch die o.g. Zugriffe hat. Damit es etwas übersichtlicher wird, wer auf welchem Server Arbeitet und damit keiner der übrigen Kollegen Änderungen im AD bzw. auf dem Exchange vornehmen kann, sollen die beiden Zugriffe nicht erlaubt sein.

Kann mir jemand einen Tipp geben, wie ich das am besten löse?
Gibt es eventuell die Möglichkeit den "Eingeschränkten Admins" den Vollzugriff zu geben und dann nur die beiden Server auszuschließen?

Meine Vorstellung war, einfach den Zugriff per RDP auf die beiden Server zu untersagen... Wenn das der richtige Weg ist, wo kann ich die beiden Server dann ausschließen?

Gruß,
Louie

Please also mark the comments that contributed to the solution of the article

Content-Key: 393924

Url: https://administrator.de/contentid/393924

Printed on: April 26, 2024 at 14:04 o'clock

8 Comments

Latest comment

Hi,
sie sollen also bloß auf allen Nicht-Domaincontrollern lokale Administratoren sein?
Falls ja, dann schau Dir mal GPO an:

Variante über "eingeschränkte Gruppen"
Variante über GPP "Lokale Benutzer und Gruppen"

Wenn sie darüber hinaus doch noch einige Sachen im AD dürfen sollen, wie z.B. Benutzereigenschaften bearbeiten oder mit Computern der Domäne beitreten, dann suche mal nach "Delegierung der Verwaltung im AD" o.ä.

E.

Hallo und danke für die Antwort.

Nein es sollen keine lokalen Administratoren angelegt werden, sondern Domänen Administratoren, mit der beschränkung nicht auf den DC und nicht auf den Exchange zugreifen zu dürfen.

Moin,

das Thema gab es hier schon oft.

Einen Dom Admin beschränken zu wollen macht keinen Sinn. Mit den Rechten kann der User die Konfig einfach selbst wieder ändern.

Das richtige Vorgehen ist den Usern die Rechte zu geben, welche sie eben benötigen.

Alles andere klingt erstmal schöner, bringt aber null Sicherheit.

Gruß
Spirit

Moin,

Zitat von @KingLouie:

Hallo und danke für die Antwort.

Nein es sollen keine lokalen Administratoren angelegt werden,

Doch, denn

sondern Domänen Administratoren, mit der beschränkung nicht auf den DC und nicht auf den Exchange zugreifen zu dürfen.

das sind keine Domain-Admins. Ein Domain-Admin ist ein Admin, der auf die DCs Vollzugriff hat. Alles andere ist kein Domain-Admin.

Schau mal in das rein, was @emeriks angedeutet hat. Du sollst ja die lokalen Admins nicht anlegen, sondern Domain-Usern lokale Adminrechte geben.

hth

Erik

Mahlzeit,

wie willst du den Admin denn daran hindern, diese Beschränkung wieder aufzuheben?
Es gibt nicht umsonst den Merksatz:
Ein Admin ist ein Admin, ist ein Admin, ...

Gruß

Moin,

dass man die Admins dann als lokale Admins bezeichnet war mir nicht bewusst... Dachte es handelt sich bei einem lokalen Admin tatsächlich ein auf der Maschine lokal angelegten Account.

Ich schau mal rein und melde mich wieder, wenn ich weitere Fragen habe ;)

Gegenfrage: Was sollen die betreffenden Leute denn auf dem Admin machen dürfen?

Moin,

ich würde das so lösen:

1. AD-Gruppe anlegen
2. DIe Server-Admin-User in die Gruppe paclen
3. Die Gruppe auf den zu verwaltenden Servern in die lokale Admingruppe pocken per GPO/GPP
4. Der Gruppe evtl.noch Rechte auf bestimmte OUs (falls nötig) im AD delegieren.

Und schon hast du eingeschränkte "Domain-"Admins .)

lg,
Slainte

German solved Question Windows User Management Microsoft