13
Administratorkonzept Active Directory
Guten Morgen,
wir möchte unser Administratorkonzept überarbeiten und stoßen auf einige Probleme, für die ich noch keine praktikable Lösung gefunden habe. VIelleicht hat der ein oder andere ja einen Tipp oder kann berichten wie er es umgesetzt hat.
Ist-Zustand: Aktuell haben alle vier IT-Mitarbeiter ein persönliches Benutzerkonto, welches keine besonderen Berechtigungen im Netzwerk hat. Darüber hinaus wird von allen ein neutrales Domänen-Administratorkonto verwendet, sowohl für administrative Arbeiten an den Servern als auch im Active Directory.
Soll-Zustand: Für jeden IT-Mitarbeiter soll ein personalisiertes Adminkonto für das Netzwerk (lokaler Admin auf den Servern, Berechtigungen für z.B. Backup-Anwendungen, etc.) und für zwei IT-Mitarbeiter ein personalisiertes Domänen-Adminkonto angelegt werden.
Das ist soweit auch eingerichtet und ist für die tägliche Arbeit ausreichend, außer für folgende Aufgaben:
- Auf den Domänencontrollern läuft der NPS als RADIUS-Server, dieser kann nur auf dem Server selbst konfiguriert werden (keine Remotekonsole).
- Zwei Domänencontroller werden per Windows Server Sicherung gesichert, für die Verwendung der Konsole kann meines Wissens keine Berechtigung eingerichtet werden
- Alle IT-Mitarbeiter sollen die Domänencontroller aktualisieren (Updates werden per WSUS freigegeben) und neustarten können
Wie kann ich das nun lösen, ohne dass alle IT-Mitarbeiter ein Domänen-Adminkonto erhalten? Hat jemand Ideen oder Ansätze?
wir möchte unser Administratorkonzept überarbeiten und stoßen auf einige Probleme, für die ich noch keine praktikable Lösung gefunden habe. VIelleicht hat der ein oder andere ja einen Tipp oder kann berichten wie er es umgesetzt hat.
Ist-Zustand: Aktuell haben alle vier IT-Mitarbeiter ein persönliches Benutzerkonto, welches keine besonderen Berechtigungen im Netzwerk hat. Darüber hinaus wird von allen ein neutrales Domänen-Administratorkonto verwendet, sowohl für administrative Arbeiten an den Servern als auch im Active Directory.
Soll-Zustand: Für jeden IT-Mitarbeiter soll ein personalisiertes Adminkonto für das Netzwerk (lokaler Admin auf den Servern, Berechtigungen für z.B. Backup-Anwendungen, etc.) und für zwei IT-Mitarbeiter ein personalisiertes Domänen-Adminkonto angelegt werden.
Das ist soweit auch eingerichtet und ist für die tägliche Arbeit ausreichend, außer für folgende Aufgaben:
- Auf den Domänencontrollern läuft der NPS als RADIUS-Server, dieser kann nur auf dem Server selbst konfiguriert werden (keine Remotekonsole).
- Zwei Domänencontroller werden per Windows Server Sicherung gesichert, für die Verwendung der Konsole kann meines Wissens keine Berechtigung eingerichtet werden
- Alle IT-Mitarbeiter sollen die Domänencontroller aktualisieren (Updates werden per WSUS freigegeben) und neustarten können
Wie kann ich das nun lösen, ohne dass alle IT-Mitarbeiter ein Domänen-Adminkonto erhalten? Hat jemand Ideen oder Ansätze?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374204
Url: https://administrator.de/forum/administratorkonzept-active-directory-374204.html
Ausgedruckt am: 11.04.2025 um 15:04 Uhr
13 Kommentare
Neuester Kommentar
Hallo!
Ob das so eine gute Idee ist?
Ich halte es nach wie vor wie die Highlander . Es kann nur einen Administartor geben - auch wenn es mehrere IT-Mitarbeiter gibt.
Die IT-Mitarbeiter sind alle normale User.
Wenn ein IT-Mitarbeiter Adminrechte benötigt, muss er sich eben als Abmin anmelden. Punkt.
Es wird wohl kaum der Fall sein, dass mehrere IT-Mitarbeiter gleichzeitig mit Adminrechten an einem Problem arbeiten (wollen)
Gruß
eisbein
Soll-Zustand: Für jeden IT-Mitarbeiter soll ein personalisiertes Adminkonto für das Netzwerk
Ob das so eine gute Idee ist?
Ich halte es nach wie vor wie die Highlander . Es kann nur einen Administartor geben - auch wenn es mehrere IT-Mitarbeiter gibt.
Die IT-Mitarbeiter sind alle normale User.
Wenn ein IT-Mitarbeiter Adminrechte benötigt, muss er sich eben als Abmin anmelden. Punkt.
Es wird wohl kaum der Fall sein, dass mehrere IT-Mitarbeiter gleichzeitig mit Adminrechten an einem Problem arbeiten (wollen)
Gruß
eisbein
Zitat von @eisbein:
Ich halte es nach wie vor wie die Highlander . Es kann nur einen Administartor geben - auch wenn es mehrere IT-Mitarbeiter gibt.
Die IT-Mitarbeiter sind alle normale User.
Wenn ein IT-Mitarbeiter Adminrechte benötigt, muss er sich eben als Abmin anmelden. Punkt.
Es wird wohl kaum der Fall sein, dass mehrere IT-Mitarbeiter gleichzeitig mit Adminrechten an einem Problem arbeiten (wollen)
Ich halte es nach wie vor wie die Highlander . Es kann nur einen Administartor geben - auch wenn es mehrere IT-Mitarbeiter gibt.
Die IT-Mitarbeiter sind alle normale User.
Wenn ein IT-Mitarbeiter Adminrechte benötigt, muss er sich eben als Abmin anmelden. Punkt.
Es wird wohl kaum der Fall sein, dass mehrere IT-Mitarbeiter gleichzeitig mit Adminrechten an einem Problem arbeiten (wollen)
Es geht in der Personalisierung darum, dass nachvollziehbar ist wer was gemacht hat. Das personalisierte Adminkonto soll natürlich ein zusätzliches Konto ausschließlich für administrative Aufgaben sein.
Hallo!
Das setzte ich auf Protokollierung (zb. Ticketsystem), Aufgabenverteilung und Kommunikation.
Die Nachvollziehbarkeit wird sich auch mit separaten Benutzerkonten in Grenzen halten.
Gruß
eisbein
Es geht in der Personalisierung darum, dass nachvollziehbar ist wer was gemacht hat.
Das setzte ich auf Protokollierung (zb. Ticketsystem), Aufgabenverteilung und Kommunikation.
Die Nachvollziehbarkeit wird sich auch mit separaten Benutzerkonten in Grenzen halten.
Gruß
eisbein
Hallo,
dabei geht es ja evtl. auch darum, wenn ein Client/Server kompromittiert wird, dass dort keine Spuren eines Admins/Domänenadmins zu finden sind, mit denen man sich evtl. tiefergehenden Zugriff auf im Netzwerk verschaffen kann.
Wir haben auf Empfehlung nach einem Pentest folgendes Konzept umgesetzt (etwas umfangreich, aber in der Praxis doch gut umsetzbar):
Jeder hat seinen persönlichen Account für die tägliche Arbeit.
Dann hat jeder einen pers. Adminsccount nur für die Clients, um dort Installationen etc. durchzuführen. Diese können sich nur auf Clients und auf den TS anmelden.
Als Drittes hat jeder einen pers. Adminaccount nur für die Server um dort entsprechende Arbeiten durchführen zu können. Die können sich nicht auf den DCs, den Clients und den TS anmelden.
Zugut erletzt gibt es noch den einen Administrator, der sich allerdings nur auf den DCs und sonst nirgends anmelden kann. Von dem kennt jeder IT-Mitarbeiter das Kennwort.
dabei geht es ja evtl. auch darum, wenn ein Client/Server kompromittiert wird, dass dort keine Spuren eines Admins/Domänenadmins zu finden sind, mit denen man sich evtl. tiefergehenden Zugriff auf im Netzwerk verschaffen kann.
Wir haben auf Empfehlung nach einem Pentest folgendes Konzept umgesetzt (etwas umfangreich, aber in der Praxis doch gut umsetzbar):
Jeder hat seinen persönlichen Account für die tägliche Arbeit.
Dann hat jeder einen pers. Adminsccount nur für die Clients, um dort Installationen etc. durchzuführen. Diese können sich nur auf Clients und auf den TS anmelden.
Als Drittes hat jeder einen pers. Adminaccount nur für die Server um dort entsprechende Arbeiten durchführen zu können. Die können sich nicht auf den DCs, den Clients und den TS anmelden.
Zugut erletzt gibt es noch den einen Administrator, der sich allerdings nur auf den DCs und sonst nirgends anmelden kann. Von dem kennt jeder IT-Mitarbeiter das Kennwort.
Zitat von @Falaffel:
Jeder hat seinen persönlichen Account für die tägliche Arbeit.
Dann hat jeder einen pers. Adminsccount nur für die Clients, um dort Installationen etc. durchzuführen. Diese können sich nur auf Clients und auf den TS anmelden.
Als Drittes hat jeder einen pers. Adminaccount nur für die Server um dort entsprechende Arbeiten durchführen zu können. Die können sich nicht auf den DCs, den Clients und den TS anmelden.
Zugut erletzt gibt es noch den einen Administrator, der sich allerdings nur auf den DCs und sonst nirgends anmelden kann. Von dem kennt jeder IT-Mitarbeiter das Kennwort.
Jeder hat seinen persönlichen Account für die tägliche Arbeit.
Dann hat jeder einen pers. Adminsccount nur für die Clients, um dort Installationen etc. durchzuführen. Diese können sich nur auf Clients und auf den TS anmelden.
Als Drittes hat jeder einen pers. Adminaccount nur für die Server um dort entsprechende Arbeiten durchführen zu können. Die können sich nicht auf den DCs, den Clients und den TS anmelden.
Zugut erletzt gibt es noch den einen Administrator, der sich allerdings nur auf den DCs und sonst nirgends anmelden kann. Von dem kennt jeder IT-Mitarbeiter das Kennwort.
Im Grunde entspricht das ja unserem Konzept, der kritische Punkt ist der Administrator für die DCs. Der Administrator ist Domänen-Admin? Habt ihr dann die Domänen-Admins bei allen Computern aus der lokalen Administratorengruppe genommen?
Das nicht, wobei es in der Konsequenz richtig wäre. Aber die Domänenadmins dürfen sich an den Clients nicht anmelden.
1
HI,
dies per GPO zu verbieten?
Gruß
Holli
dies per GPO zu verbieten?
Gruß
Holli
Danke für eure Tipps und Erfahrungsberichte. Meine Anforderung ist, dass wir definitiv personalisierte Konten verwenden wollen und dass alle vier IT-Mitarbeiter den Zugriff auf die Domänencontroller benötigen. Für mich gibt es daher nun folgende Konzepte:
Variante 1
Neben den normalen Benutzerkonten erhält jeder Administrator ein zusätzliches Konto, dieses verfügt über Domänen-Adminrechte und soll zur Administration der Server und der Domänencontroller verwendet werden.
Variante 2
Neben den normalen Benutzerkonten erhält jeder Administrator zwei zusätzliche Konten, ein Konto mit lokalen Administratorrechten auf den Servern und ein Konto als Domänen-Admin.
Für die Administration der Clients gibt es bereits separate Konten.
Vorteil Variante 1: Als Domänen-Admin hat das Benutzerkonto bereits umfassende Zugriffe, so dass keine expliziten Berechtigungen vergeben werden müssen.
Vorteil Variante 2: In der Regel werden die Berechtigungen des Domänen-Admins auf den Servern fast nie benötigt, so dass man nicht mit zuvielen Berechtigungen arbeitet.
Wie habt ihr das?
Variante 1
Neben den normalen Benutzerkonten erhält jeder Administrator ein zusätzliches Konto, dieses verfügt über Domänen-Adminrechte und soll zur Administration der Server und der Domänencontroller verwendet werden.
Variante 2
Neben den normalen Benutzerkonten erhält jeder Administrator zwei zusätzliche Konten, ein Konto mit lokalen Administratorrechten auf den Servern und ein Konto als Domänen-Admin.
Für die Administration der Clients gibt es bereits separate Konten.
Vorteil Variante 1: Als Domänen-Admin hat das Benutzerkonto bereits umfassende Zugriffe, so dass keine expliziten Berechtigungen vergeben werden müssen.
Vorteil Variante 2: In der Regel werden die Berechtigungen des Domänen-Admins auf den Servern fast nie benötigt, so dass man nicht mit zuvielen Berechtigungen arbeitet.
Wie habt ihr das?
Hallo Holli,
meinst du mich?
meinst du mich?
Moin,
Gruß,
Dani
Neben den normalen Benutzerkonten erhält jeder Administrator ein zusätzliches Konto, dieses verfügt über Domänen-Adminrechte und soll zur Administration der Server und der Domänencontroller verwendet werden.
der Ansatz ist gut mit dem separaten Benutzerkonto finde ich gut. Aber die Mitgliedschaft der Domänen-Admins würde ich vergessen. Für die Administration der Server reicht in der Regel die Mitgliedschaft in der lokalen Gruppe der Administratoren. Für Domain Controllers (AD, DNS, DHCP, etc..) reicht eigentlich eine Delegierung bzw. Mitgliedschaft der jeweiligen Gruppen.Für die Administration der Clients gibt es bereits separate Konten.
Gut, sowbei auch hier die Konten hoffentlich ausschließlich in der lokalen Gruppe der Administratoren befindet.Gruß,
Dani
Ja!
Nur würde ich das vorher in einer Testumgebung testen!
Ich hatte schon Domain-Admins die hatten weniger Rechte als manch andere Admin!
Gruß
Holli
Domänenadmins sollen letztendlich ja nur dann eingesetzt werden, wenn tatsächlich an der Domäne selber etwas admninistriert werden soll und damit meine ich nicht Benutzer anlegen oder Kennwörter zurücksetzen.
Zitat von @Falaffel:
Domänenadmins sollen letztendlich ja nur dann eingesetzt werden, wenn tatsächlich an der Domäne selber etwas admninistriert werden soll und damit meine ich nicht Benutzer anlegen oder Kennwörter zurücksetzen.
Domänenadmins sollen letztendlich ja nur dann eingesetzt werden, wenn tatsächlich an der Domäne selber etwas admninistriert werden soll und damit meine ich nicht Benutzer anlegen oder Kennwörter zurücksetzen.
Hi Falaffel,
hat genau recht. Daher Admin's-Account erstellen, die nicht gleich die volle Berechtigung haben, sondern nur die benötigte!
Gruß
Holli
