maxpoint
Goto Top

Administrator ist Mitglied der Gruppe Domänen-Benutzer?

Hallo

Ich bin gerade auf den Umstand gestoßen, dass der Administrator Mitglied der Sicherheitsgruppe Domänen-Benutzer ist.
Das Problem, ich möchte Rechte in Ordnern setzten und teilweise in den unteren Strukturen aufheben.
Jetzt habe ich die Rechte in den Unterordnern so geregelt, dass die Gruppe Domänen-Benutzer bestimmte Rechte nicht besitzen... Na ja, nur gilt das auch für den Admin weil er teil der selben Gruppe ist.

Sinn ist es die Vererbung nicht aufzuheben um bei späteren Änderungen der Berechtigung kein Stein in den Weg zu legen.

Kann ich den Administrator aus der Gruppe Domänen-Benutzer raus nehmen ohne das ich mir ein Ei lege und damit am Server was nicht funktioniert?

Dennis

Content-ID: 289210

Url: https://administrator.de/forum/administrator-ist-mitglied-der-gruppe-domaenen-benutzer-289210.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

DerWoWusste
DerWoWusste 24.11.2015 um 11:57:52 Uhr
Goto Top
Moin.

Arbeitest Du denn überhaupt mit Verweigerungen? Musst Du nicht und dann hast Du auch kein Problem. Soll eine Gruppe ein Recht nicht besitzen, erteile Ihr es schlicht nicht - verweigern muss man nicht dazu benutzen, gibt nur Probleme.
maxpoint
maxpoint 24.11.2015 aktualisiert um 12:09:09 Uhr
Goto Top
Hallo

Na ja, dazu müsste ich die Vererbung aufheben. Das zieht wieder andere Probleme mit sich.

Die Ordnerstruktur wird eine Vorlage und soll mit dem Inhalt und den gesetzten Berechtigungen immer wieder kopiert werden.

Dennis
maxpoint
maxpoint 24.11.2015 aktualisiert um 12:10:15 Uhr
Goto Top
Das Einzige was mir noch einfällt wäre die Gruppe Domänen-Benutzer nicht zu verwenden. Das würde jedoch bedeuten jeden neuen Mitarbeiter manuell in eine bestimmte Gruppe aufzunehmen und somit mit den Zugriffen verweigern zu arbeiten.

Auf verweigern habe ich auch keine Lust mir fällt aber nichts anderes ein
SlainteMhath
SlainteMhath 24.11.2015 aktualisiert um 12:11:22 Uhr
Goto Top
Moin,

2 Tipps aus der Praxis:

1. Verwende keine Rechte-Verweigerung. Das beißt dich früher oder später wieder in den Hintern
2. Vernwende die Domain-User Gruppe nicht für (NTFS-)Berechtigungen. Spätestens wenn du User hast die generell nicht aufs Fileshare sollen, hast du ein Problem.

/EDIT: Und zu deiner eigentlichen Frage: Das kannst nur du Beantworten! nur Du weist (solltest wissen face-smile ) wo welche gruppe Berechtigungen hat. Zu dem Thema gabs auch kprzlich hier nen tghread.

lg,
Slainte
maxpoint
maxpoint 24.11.2015 um 13:42:39 Uhr
Goto Top
Das der Administrator in der Gruppe Domänen-Benutzer enthalten ist, war mir nicht klar. Das ist scheinbar normal, weil ich das bei anderen Systemen auch so sehen kann.

Also lieber finger weg und den Admin in der Gruppe belassen?
kleinerbub
kleinerbub 24.11.2015 um 14:03:04 Uhr
Goto Top
Moin maxpoint,

ich würde es so lösen:

  • Gruppe erstellen, in der alle Benutzer Mitglied sind, die momentan Domänen-Benutzer sind (bis auf den Admin, wenn du den raus haben möchtest)
  • dieser Gruppe Zugriff auf deinen Ordner geben
  • wenn nötig weiter unten in der Hierarchie die Vererbung aufheben und Rechte anpassen (damit umgehst du das böse "Rechte verweigern")

Du wirst um die Zuordnung der neuen User zu bestimmten Gruppen nicht herum kommen, wenn du sinnvoll und strukturiert arbeiten willst. Schließlich kriegt jeder neue Mitarbeiter ja auch sein eigenes Login, seinen Schlüssel, seine Berufskleidung. Dafür hast du es später leichter, wenn sich etwas ändert oder die Struktur etwas differenzierter wird.

Man kann sich die Arbeit etwas erleichtern, indem man sich Vorlagen für Benutzer erstellt, die man dann einfach kopiert. Da werden die Gruppenmitgliedschaften auch übernommen.

Viele Grüße

kleinerbub
emeriks
emeriks 24.11.2015 um 14:07:11 Uhr
Goto Top
Hi,
jeder Domänen-Benutzer landet standardmäßig in den "Domänen-Benutzern" (Primärgruppe)

Man kann ohne weiters den Administrator aus dieser Gruppe entfernen. Einfach eine andere Gruppe als primäre Gruppe festlegen (z.B. "Domänen-Admins") und dann aus Domänen-Benutzer entfernen.

Jedoch: In Anlehnung dessen, was @sliantemath schon schrieb:
Erstell Dir eine Kopie des Administrators. Diese entfernst Du aus "Domänen-Benutzer" und verwendest Du zukünftig für Deine administrativen Aufgaben. So musst den nicht am BuliIn-Administrator rumbasteln.

@dww
Verweigerungen sind was Feines! Man muss sich nur ein vernünftiges Berechtigungskonzept erarbeiten. face-wink

E.
maxpoint
maxpoint 24.11.2015 aktualisiert um 14:28:30 Uhr
Goto Top
Was könnte denn geschehen wenn ich den Admin aus der Gruppe nehme? Ich glaub ich werde das mal testen auf einer VM
SlainteMhath
SlainteMhath 24.11.2015 um 14:46:17 Uhr
Goto Top
Was könnte denn geschehen wenn ich den Admin aus der Gruppe nehme?
Das ihm Rechte fehlen, wenn der/die Server, Serverdienste oder das Filesystem komisch konfiguriert wurde. Aber die Frage kannst nur du beantworten, da der Domain-Admin (bzw. die Domain-Admin Gruppe) eh elle Rechte hat die auch die Domain-Benutzer haben.

Ich glaub ich werde das mal testen auf einer VM
Wird dir in Hinsicht auf den/die Server der "echten" Domäne nichts bringen.
emeriks
emeriks 24.11.2015 um 15:00:03 Uhr
Goto Top
da der Domain-Admin (bzw. die Domain-Admin Gruppe) eh alle Rechte hat die auch die Domain-Benutzer haben.
Äh, sorry. Aber das stimmt so nicht.
Es mag so sein, dass z.B. standardmäßig die Domänen-Admins Mitglied der Administratoren eines Member-Computers sind und Domänen-Benutzer standardmäßig Mitglied der Benutzer eines Member-Computers sind und das deshalb ein Domänen-Admin auf einem Member-Computer standardmäßig min. alle Privilegien hat, welche auch die Benutzer haben. Deshalb muss er aber nicht überall dort, wo die Benutzer Zugriffsrechte haben (z.B. im NTFS oder in Datenbanken) auch diese Rechte haben oder gar mehr davon.
SlainteMhath
SlainteMhath 24.11.2015 um 15:22:06 Uhr
Goto Top
@emeriks
Im Prinzip hast du recht. Allerdings sind das - wie bereits mehrmals geschrieben - dann Begebenheit die nur der TO kennen kann.
Belässt man am Client und Server alles bei den Standard-Einstellungen und Mitgliedschaften, dann treffen meine Aussagen schon zu face-smile Nachdem beim TO immer noch aktiv mit dem Administrator gearbeitet wird (sonst würde die Frage ja gar nicht auftauchten), bin ich mal davon ausgegangen das die Defaults auch unverändert geblieben sind.
maxpoint
maxpoint 24.11.2015 um 15:29:13 Uhr
Goto Top
so ist es, keine Änderungen am System bezüglich der Dienste usw.

Standard nach MS