Anmeldung des Domänen-Administrators auf Arbeitsplätzen verhindern
Guten Morgen,
wir wollen die Anmeldung von vers. Benutzern, u.a. auch der Domänen-Administrator, auf den Arbeitsplätzen verhindern.
Für einen alternativen Zugriff haben wir bereits LAPS installiert und konfiguriert, falls lokal Tätigkeiten zu erfüllen sind.
Was wäre nun der beste Weg um dies zu verhindern?
Ich hätte eine Gruppe in der AD konfiguriert, wo ich unter anderem den Domain-Administrator hinzufüge.
Diese Gruppe würde ich in einer Gruppenrichtlinie verwenden, die "Anmelden als Dienst", "Lokal anmelden" und "Anmeldung via Remotedesktopdienste" verweigert.
Die erzeugte Gruppenrichtlinie linke ich dann an die OUs, in der sich die Arbeitsplätze befinden.
Stolpersteine?
Grüße
wir wollen die Anmeldung von vers. Benutzern, u.a. auch der Domänen-Administrator, auf den Arbeitsplätzen verhindern.
Für einen alternativen Zugriff haben wir bereits LAPS installiert und konfiguriert, falls lokal Tätigkeiten zu erfüllen sind.
Was wäre nun der beste Weg um dies zu verhindern?
Ich hätte eine Gruppe in der AD konfiguriert, wo ich unter anderem den Domain-Administrator hinzufüge.
Diese Gruppe würde ich in einer Gruppenrichtlinie verwenden, die "Anmelden als Dienst", "Lokal anmelden" und "Anmeldung via Remotedesktopdienste" verweigert.
Die erzeugte Gruppenrichtlinie linke ich dann an die OUs, in der sich die Arbeitsplätze befinden.
Stolpersteine?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 477956
Url: https://administrator.de/contentid/477956
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Ein Domänen-Admin kann
Lösung:
Nutze nicht die "Domänen-Admins".
Erteile den Benutzern dediziert nur jene Rechte, welche sie benötigen. Dazu kann auch gehören, Benutzer und/oder Computer zu verwalten. Dafür mus man kein Domänenadmin sein.
E.
- sich jederzeit wieder aus dieser Gruppe entfernen
- kann diese GPO beeinflussen
- kann, wenn er weiterhin Mitglied der lokalen Administratoren ist, aus der Ferne die Einstellungen dieses Clients beeinflussen
Lösung:
Nutze nicht die "Domänen-Admins".
Erteile den Benutzern dediziert nur jene Rechte, welche sie benötigen. Dazu kann auch gehören, Benutzer und/oder Computer zu verwalten. Dafür mus man kein Domänenadmin sein.
E.
Glaube dem TO gehts in erster linie darum das sowas nicht "versehentlich" passiert, um nicht Domain-Admin Credentials auf fauligen Clients zu verteilen - im Zuge von einem Tier design:
https://blogs.technet.microsoft.com/askpfeplat/2017/10/31/protecting-dom ...
Interessant in dem Link sicher diese Schritte:
Deny Domain and Enterprise Administrators from authenticating to Tier 1 and Tier 2 assets via GPO:
Deny logon via RDP
https://technet.microsoft.com/en-us/library/dn221959(v=ws.11).aspx
Deny logon as a batch job
https://technet.microsoft.com/en-us/library/cc976547.aspx
Deny logon as a service
https://technet.microsoft.com/en-us/library/cc957038.aspx
Deny access to the computer from the network
https://technet.microsoft.com/en-us/library/dn221954(v=ws.11).aspx
Deny logon locally
https://technet.microsoft.com/en-us/library/cc957048.aspx
Aber denke so wie es der TO schreibt müsste es i.O. sein
https://blogs.technet.microsoft.com/askpfeplat/2017/10/31/protecting-dom ...
Interessant in dem Link sicher diese Schritte:
Deny Domain and Enterprise Administrators from authenticating to Tier 1 and Tier 2 assets via GPO:
Deny logon via RDP
https://technet.microsoft.com/en-us/library/dn221959(v=ws.11).aspx
Deny logon as a batch job
https://technet.microsoft.com/en-us/library/cc976547.aspx
Deny logon as a service
https://technet.microsoft.com/en-us/library/cc957038.aspx
Deny access to the computer from the network
https://technet.microsoft.com/en-us/library/dn221954(v=ws.11).aspx
Deny logon locally
https://technet.microsoft.com/en-us/library/cc957048.aspx
Aber denke so wie es der TO schreibt müsste es i.O. sein
Hier wird das Konzept beschrieben samt Umsetzung: https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Zitat von @informatikkfm:
Würdet ihr die Gruppe "Domänen-Admins" zu der Tier0-Gruppe hinzufügen oder würdet Ihr den Domänen-Admins separat die Anmeldung an den o.g. Diensten verweigern?
Wie ich schon geschrieben habe: Nutze diese Gruppe nicht! Sprich, füge keines Eurer Admin-Konten dort als Mitglied hinzu. Dann kann sie drinstehen, wo sie will, es hat keine Auswirkung auf die Rechte Eurer Admin-Konten.Würdet ihr die Gruppe "Domänen-Admins" zu der Tier0-Gruppe hinzufügen oder würdet Ihr den Domänen-Admins separat die Anmeldung an den o.g. Diensten verweigern?