Administrator ist Mitglied der Gruppe Domänen-Benutzer?

Mitglied: maxpoint

maxpoint (Level 1) - Jetzt verbinden

24.11.2015 um 11:51 Uhr, 3363 Aufrufe, 12 Kommentare

Hallo

Ich bin gerade auf den Umstand gestoßen, dass der Administrator Mitglied der Sicherheitsgruppe Domänen-Benutzer ist.
Das Problem, ich möchte Rechte in Ordnern setzten und teilweise in den unteren Strukturen aufheben.
Jetzt habe ich die Rechte in den Unterordnern so geregelt, dass die Gruppe Domänen-Benutzer bestimmte Rechte nicht besitzen... Na ja, nur gilt das auch für den Admin weil er teil der selben Gruppe ist.

Sinn ist es die Vererbung nicht aufzuheben um bei späteren Änderungen der Berechtigung kein Stein in den Weg zu legen.

Kann ich den Administrator aus der Gruppe Domänen-Benutzer raus nehmen ohne das ich mir ein Ei lege und damit am Server was nicht funktioniert?

Dennis
Mitglied: DerWoWusste
24.11.2015 um 11:57 Uhr
Moin.

Arbeitest Du denn überhaupt mit Verweigerungen? Musst Du nicht und dann hast Du auch kein Problem. Soll eine Gruppe ein Recht nicht besitzen, erteile Ihr es schlicht nicht - verweigern muss man nicht dazu benutzen, gibt nur Probleme.
Bitte warten ..
Mitglied: maxpoint
24.11.2015, aktualisiert um 12:09 Uhr
Hallo

Na ja, dazu müsste ich die Vererbung aufheben. Das zieht wieder andere Probleme mit sich.

Die Ordnerstruktur wird eine Vorlage und soll mit dem Inhalt und den gesetzten Berechtigungen immer wieder kopiert werden.

Dennis
Bitte warten ..
Mitglied: maxpoint
24.11.2015, aktualisiert um 12:10 Uhr
Das Einzige was mir noch einfällt wäre die Gruppe Domänen-Benutzer nicht zu verwenden. Das würde jedoch bedeuten jeden neuen Mitarbeiter manuell in eine bestimmte Gruppe aufzunehmen und somit mit den Zugriffen verweigern zu arbeiten.

Auf verweigern habe ich auch keine Lust mir fällt aber nichts anderes ein
Bitte warten ..
Mitglied: SlainteMhath
24.11.2015, aktualisiert um 12:11 Uhr
Moin,

2 Tipps aus der Praxis:

1. Verwende keine Rechte-Verweigerung. Das beißt dich früher oder später wieder in den Hintern
2. Vernwende die Domain-User Gruppe nicht für (NTFS-)Berechtigungen. Spätestens wenn du User hast die generell nicht aufs Fileshare sollen, hast du ein Problem.

/EDIT: Und zu deiner eigentlichen Frage: Das kannst nur du Beantworten! nur Du weist (solltest wissen :) face-smile ) wo welche gruppe Berechtigungen hat. Zu dem Thema gabs auch kprzlich hier nen tghread.

lg,
Slainte
Bitte warten ..
Mitglied: maxpoint
24.11.2015 um 13:42 Uhr
Das der Administrator in der Gruppe Domänen-Benutzer enthalten ist, war mir nicht klar. Das ist scheinbar normal, weil ich das bei anderen Systemen auch so sehen kann.

Also lieber finger weg und den Admin in der Gruppe belassen?
Bitte warten ..
Mitglied: kleinerbub
24.11.2015 um 14:03 Uhr
Moin maxpoint,

ich würde es so lösen:

  • Gruppe erstellen, in der alle Benutzer Mitglied sind, die momentan Domänen-Benutzer sind (bis auf den Admin, wenn du den raus haben möchtest)
  • dieser Gruppe Zugriff auf deinen Ordner geben
  • wenn nötig weiter unten in der Hierarchie die Vererbung aufheben und Rechte anpassen (damit umgehst du das böse "Rechte verweigern")

Du wirst um die Zuordnung der neuen User zu bestimmten Gruppen nicht herum kommen, wenn du sinnvoll und strukturiert arbeiten willst. Schließlich kriegt jeder neue Mitarbeiter ja auch sein eigenes Login, seinen Schlüssel, seine Berufskleidung. Dafür hast du es später leichter, wenn sich etwas ändert oder die Struktur etwas differenzierter wird.

Man kann sich die Arbeit etwas erleichtern, indem man sich Vorlagen für Benutzer erstellt, die man dann einfach kopiert. Da werden die Gruppenmitgliedschaften auch übernommen.

Viele Grüße

kleinerbub
Bitte warten ..
Mitglied: emeriks
24.11.2015 um 14:07 Uhr
Hi,
jeder Domänen-Benutzer landet standardmäßig in den "Domänen-Benutzern" (Primärgruppe)

Man kann ohne weiters den Administrator aus dieser Gruppe entfernen. Einfach eine andere Gruppe als primäre Gruppe festlegen (z.B. "Domänen-Admins") und dann aus Domänen-Benutzer entfernen.

Jedoch: In Anlehnung dessen, was @SlianteMath schon schrieb:
Erstell Dir eine Kopie des Administrators. Diese entfernst Du aus "Domänen-Benutzer" und verwendest Du zukünftig für Deine administrativen Aufgaben. So musst den nicht am BuliIn-Administrator rumbasteln.

@DWW
Verweigerungen sind was Feines! Man muss sich nur ein vernünftiges Berechtigungskonzept erarbeiten. ;-) face-wink

E.
Bitte warten ..
Mitglied: maxpoint
24.11.2015, aktualisiert um 14:28 Uhr
Was könnte denn geschehen wenn ich den Admin aus der Gruppe nehme? Ich glaub ich werde das mal testen auf einer VM
Bitte warten ..
Mitglied: SlainteMhath
24.11.2015 um 14:46 Uhr
Was könnte denn geschehen wenn ich den Admin aus der Gruppe nehme?
Das ihm Rechte fehlen, wenn der/die Server, Serverdienste oder das Filesystem komisch konfiguriert wurde. Aber die Frage kannst nur du beantworten, da der Domain-Admin (bzw. die Domain-Admin Gruppe) eh elle Rechte hat die auch die Domain-Benutzer haben.

Ich glaub ich werde das mal testen auf einer VM
Wird dir in Hinsicht auf den/die Server der "echten" Domäne nichts bringen.
Bitte warten ..
Mitglied: emeriks
24.11.2015 um 15:00 Uhr
da der Domain-Admin (bzw. die Domain-Admin Gruppe) eh alle Rechte hat die auch die Domain-Benutzer haben.
Äh, sorry. Aber das stimmt so nicht.
Es mag so sein, dass z.B. standardmäßig die Domänen-Admins Mitglied der Administratoren eines Member-Computers sind und Domänen-Benutzer standardmäßig Mitglied der Benutzer eines Member-Computers sind und das deshalb ein Domänen-Admin auf einem Member-Computer standardmäßig min. alle Privilegien hat, welche auch die Benutzer haben. Deshalb muss er aber nicht überall dort, wo die Benutzer Zugriffsrechte haben (z.B. im NTFS oder in Datenbanken) auch diese Rechte haben oder gar mehr davon.
Bitte warten ..
Mitglied: SlainteMhath
24.11.2015 um 15:22 Uhr
@emeriks
Im Prinzip hast du recht. Allerdings sind das - wie bereits mehrmals geschrieben - dann Begebenheit die nur der TO kennen kann.
Belässt man am Client und Server alles bei den Standard-Einstellungen und Mitgliedschaften, dann treffen meine Aussagen schon zu :) face-smile Nachdem beim TO immer noch aktiv mit dem Administrator gearbeitet wird (sonst würde die Frage ja gar nicht auftauchten), bin ich mal davon ausgegangen das die Defaults auch unverändert geblieben sind.
Bitte warten ..
Mitglied: maxpoint
24.11.2015 um 15:29 Uhr
so ist es, keine Änderungen am System bezüglich der Dienste usw.

Standard nach MS
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 22 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 17 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...