8
Admin mit eingeschränkten Zugriff
Hallo zusammen,
ich habe von einem Kollegen die Aufgabe bekommen, einen eingeschränkten Domänen Admin anzulegen, der im grunde genommen alles kann, außer die Verwaltung des AD und des Exchange.
Hintergrund: Derzeit Arbeiten mehrere Kollegen mit einem einzigen Account, der ja auch noch die o.g. Zugriffe hat. Damit es etwas übersichtlicher wird, wer auf welchem Server Arbeitet und damit keiner der übrigen Kollegen Änderungen im AD bzw. auf dem Exchange vornehmen kann, sollen die beiden Zugriffe nicht erlaubt sein.
Kann mir jemand einen Tipp geben, wie ich das am besten löse?
Gibt es eventuell die Möglichkeit den "Eingeschränkten Admins" den Vollzugriff zu geben und dann nur die beiden Server auszuschließen?
Meine Vorstellung war, einfach den Zugriff per RDP auf die beiden Server zu untersagen... Wenn das der richtige Weg ist, wo kann ich die beiden Server dann ausschließen?
Gruß,
Louie
ich habe von einem Kollegen die Aufgabe bekommen, einen eingeschränkten Domänen Admin anzulegen, der im grunde genommen alles kann, außer die Verwaltung des AD und des Exchange.
Hintergrund: Derzeit Arbeiten mehrere Kollegen mit einem einzigen Account, der ja auch noch die o.g. Zugriffe hat. Damit es etwas übersichtlicher wird, wer auf welchem Server Arbeitet und damit keiner der übrigen Kollegen Änderungen im AD bzw. auf dem Exchange vornehmen kann, sollen die beiden Zugriffe nicht erlaubt sein.
Kann mir jemand einen Tipp geben, wie ich das am besten löse?
Gibt es eventuell die Möglichkeit den "Eingeschränkten Admins" den Vollzugriff zu geben und dann nur die beiden Server auszuschließen?
Meine Vorstellung war, einfach den Zugriff per RDP auf die beiden Server zu untersagen... Wenn das der richtige Weg ist, wo kann ich die beiden Server dann ausschließen?
Gruß,
Louie
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393924
Url: https://administrator.de/forum/admin-mit-eingeschraenkten-zugriff-393924.html
Ausgedruckt am: 15.04.2025 um 11:04 Uhr
8 Kommentare
Neuester Kommentar
Hi,
sie sollen also bloß auf allen Nicht-Domaincontrollern lokale Administratoren sein?
Falls ja, dann schau Dir mal GPO an:
Wenn sie darüber hinaus doch noch einige Sachen im AD dürfen sollen, wie z.B. Benutzereigenschaften bearbeiten oder mit Computern der Domäne beitreten, dann suche mal nach "Delegierung der Verwaltung im AD" o.ä.
E.
sie sollen also bloß auf allen Nicht-Domaincontrollern lokale Administratoren sein?
Falls ja, dann schau Dir mal GPO an:
- Variante über "eingeschränkte Gruppen"
- Variante über GPP "Lokale Benutzer und Gruppen"
Wenn sie darüber hinaus doch noch einige Sachen im AD dürfen sollen, wie z.B. Benutzereigenschaften bearbeiten oder mit Computern der Domäne beitreten, dann suche mal nach "Delegierung der Verwaltung im AD" o.ä.
E.
Hallo und danke für die Antwort.
Nein es sollen keine lokalen Administratoren angelegt werden, sondern Domänen Administratoren, mit der beschränkung nicht auf den DC und nicht auf den Exchange zugreifen zu dürfen.
Nein es sollen keine lokalen Administratoren angelegt werden, sondern Domänen Administratoren, mit der beschränkung nicht auf den DC und nicht auf den Exchange zugreifen zu dürfen.
Moin,
das Thema gab es hier schon oft.
Einen Dom Admin beschränken zu wollen macht keinen Sinn. Mit den Rechten kann der User die Konfig einfach selbst wieder ändern.
Das richtige Vorgehen ist den Usern die Rechte zu geben, welche sie eben benötigen.
Alles andere klingt erstmal schöner, bringt aber null Sicherheit.
Gruß
Spirit
das Thema gab es hier schon oft.
Einen Dom Admin beschränken zu wollen macht keinen Sinn. Mit den Rechten kann der User die Konfig einfach selbst wieder ändern.
Das richtige Vorgehen ist den Usern die Rechte zu geben, welche sie eben benötigen.
Alles andere klingt erstmal schöner, bringt aber null Sicherheit.
Gruß
Spirit
Moin,
Doch, denn
das sind keine Domain-Admins. Ein Domain-Admin ist ein Admin, der auf die DCs Vollzugriff hat. Alles andere ist kein Domain-Admin.
Schau mal in das rein, was @emeriks angedeutet hat. Du sollst ja die lokalen Admins nicht anlegen, sondern Domain-Usern lokale Adminrechte geben.
hth
Erik
Zitat von @KingLouie:
Hallo und danke für die Antwort.
Nein es sollen keine lokalen Administratoren angelegt werden,
Hallo und danke für die Antwort.
Nein es sollen keine lokalen Administratoren angelegt werden,
Doch, denn
sondern Domänen Administratoren, mit der beschränkung nicht auf den DC und nicht auf den Exchange zugreifen zu dürfen.
das sind keine Domain-Admins. Ein Domain-Admin ist ein Admin, der auf die DCs Vollzugriff hat. Alles andere ist kein Domain-Admin.
Schau mal in das rein, was @emeriks angedeutet hat. Du sollst ja die lokalen Admins nicht anlegen, sondern Domain-Usern lokale Adminrechte geben.
hth
Erik
Mahlzeit,
wie willst du den Admin denn daran hindern, diese Beschränkung wieder aufzuheben?
Es gibt nicht umsonst den Merksatz:
Ein Admin ist ein Admin, ist ein Admin, ...
Gruß
wie willst du den Admin denn daran hindern, diese Beschränkung wieder aufzuheben?
Es gibt nicht umsonst den Merksatz:
Ein Admin ist ein Admin, ist ein Admin, ...
Gruß
Moin,
dass man die Admins dann als lokale Admins bezeichnet war mir nicht bewusst... Dachte es handelt sich bei einem lokalen Admin tatsächlich ein auf der Maschine lokal angelegten Account.
Ich schau mal rein und melde mich wieder, wenn ich weitere Fragen habe ;)
dass man die Admins dann als lokale Admins bezeichnet war mir nicht bewusst... Dachte es handelt sich bei einem lokalen Admin tatsächlich ein auf der Maschine lokal angelegten Account.
Ich schau mal rein und melde mich wieder, wenn ich weitere Fragen habe ;)
Gegenfrage: Was sollen die betreffenden Leute denn auf dem Admin machen dürfen?
Moin,
ich würde das so lösen:
1. AD-Gruppe anlegen
2. DIe Server-Admin-User in die Gruppe paclen
3. Die Gruppe auf den zu verwaltenden Servern in die lokale Admingruppe pocken per GPO/GPP
4. Der Gruppe evtl.noch Rechte auf bestimmte OUs (falls nötig) im AD delegieren.
Und schon hast du eingeschränkte "Domain-"Admins .)
lg,
Slainte
ich würde das so lösen:
1. AD-Gruppe anlegen
2. DIe Server-Admin-User in die Gruppe paclen
3. Die Gruppe auf den zu verwaltenden Servern in die lokale Admingruppe pocken per GPO/GPP
4. Der Gruppe evtl.noch Rechte auf bestimmte OUs (falls nötig) im AD delegieren.
Und schon hast du eingeschränkte "Domain-"Admins .)
lg,
Slainte
