8
Berechtigung für externen Dienstleister als lokaler Administrator bereitstellen
Hallo zusammen,
ich wollte einfach mal nachfragen, wie ihr folgenden Zugriff bereitstellen würdet:
Benötigt wird ein Zugriff für einen ext. Dienstleister an einem anderen Standort. Das Netzwerk ist ein Domänennetzwerk.
Der Dienstleister soll für Einsätze an dem Standort, lokale Adminberechtigungen erhalten, um dort immer wieder mal Unterstützung zu leisten.
Wie mache ich das am besten aus der Ferne, ohne mich auf jede AS aufschalten zu müssen?
Gruß
ich wollte einfach mal nachfragen, wie ihr folgenden Zugriff bereitstellen würdet:
Benötigt wird ein Zugriff für einen ext. Dienstleister an einem anderen Standort. Das Netzwerk ist ein Domänennetzwerk.
Der Dienstleister soll für Einsätze an dem Standort, lokale Adminberechtigungen erhalten, um dort immer wieder mal Unterstützung zu leisten.
Wie mache ich das am besten aus der Ferne, ohne mich auf jede AS aufschalten zu müssen?
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672070
Url: https://administrator.de/forum/berechtigung-fuer-externen-dienstleister-als-lokaler-administrator-bereitstellen-672070.html
Ausgedruckt am: 20.03.2025 um 23:03 Uhr
8 Kommentare
Neuester Kommentar
Wenn Du AS schreibst, unterscheidest du dabei zwischen Arbeitsstation und Servern? Braucht er auch auf Servern lokale Admin Rechte?
Wenn es auch um Server geht, würde ich das 3-Tier Modell empfehlen. Wenn es nur um die Arbeitsstationen geht, reicht es auch über Gruppenrichtlinien den User in die lokale Gruppe Administratoren hinzuzufügen.
Wenn es auch um Server geht, würde ich das 3-Tier Modell empfehlen. Wenn es nur um die Arbeitsstationen geht, reicht es auch über Gruppenrichtlinien den User in die lokale Gruppe Administratoren hinzuzufügen.
Zitat von @NordicMike:
Wenn Du AS schreibst, unterscheidest du dabei zwischen Arbeitsstation und Servern? Braucht er auch auf Servern lokale Admin Rechte?
Sorry, ich meinte nur Zugriff auf die lokalen ASWenn Du AS schreibst, unterscheidest du dabei zwischen Arbeitsstation und Servern? Braucht er auch auf Servern lokale Admin Rechte?
Wenn es auch um Server geht, würde ich das 3-Tier Modell empfehlen. Wenn es nur um die Arbeitsstationen geht, reicht es auch über Gruppenrichtlinien den User in die lokale Gruppe Administratoren hinzuzufügen.
Wie mache ich das per GPO?
Ist doch ganz easy,
VPN Profil für den Dienstleister erstellen. AD Konto erstellen und auf den entsprechenden Kisten den dann als lokaler Admin eintragen. Kannst manuell oder per GPO steuern.
Gruss
VPN Profil für den Dienstleister erstellen. AD Konto erstellen und auf den entsprechenden Kisten den dann als lokaler Admin eintragen. Kannst manuell oder per GPO steuern.
Gruss
Wir sind hier keine KI. Du darfst ruhig ein bisschen selbst recherchieren, z.B. die Google KI verwenden.
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
1Zitat von @NordicMike:
Wir sind hier keine KI. Du darfst ruhig ein bisschen selbst recherchieren, z.B. die Google KI verwenden.
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
Wir sind hier keine KI. Du darfst ruhig ein bisschen selbst recherchieren, z.B. die Google KI verwenden.
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
;)
Danke
Ich lass die bei mir per VPN nur auf den lokalen Server (auf dem auch nur das drauf ist, was von der Firma betreut/verkauft wird/wurde) und da haben dann den lokalen User mit den Rechten, die sie benötigen. Theoretisch ginge auch ein lokaler Admin. Kommt halt immer auf den Serve und auf die Branche an. Nicht immer muss man da einen riesen Bohei machen.
Sind personenbezogene Daten im Spiel -> AVV. Sind die nicht im Spiel, dann steht das bei denen im mit uns geschlossenen Vertrag.
Sind personenbezogene Daten im Spiel -> AVV. Sind die nicht im Spiel, dann steht das bei denen im mit uns geschlossenen Vertrag.
Moin @Tschakalaka
ich finde solche externen zugriffe immer für sehr problematisch.
ich hatte mal so einen fall, wo ein Hersteller für CNC Maschinen einen Netzwerkzugang haben wollte auf die von ihm hergestellten Maschinen bei der Nutzerfirma, für die ich mal IT-Sachen machen sollte.
Bei der Nutzerfirma hatte man alles im gesamten haus verteilt mit fritzboxen umgesetzt. Das war nicht so die perfekte Lösung. man hatte einen VPN Zugang für den Hersteller bereitgestellt, der so aber Zugang zu allem im gesamten netz hatte. -> nicht schlau!
Ich empfahl alle fritzboxen zu entfernen und damals UNIfi Vernetzung mit VLans et. umzusetzen, damit der externe Zugang ausschließlich nur noch zu den CNC Maschinen führt, aber nichts weiter.
Ich würde allgemein hier dazu raten wenn es denn nur bei bedarf benötigt wird, den Zugang nur auf bedarf / Zuruf zu öffnen. Darüber hinaus sollte man seitens den Dienstleisters eine Verpflichtung unterschreiben lassen, dass alle diese zugriffe protokolliert werden inkl. name den Mitarbeiters/mitarbeiterin, die das durchführte.
Bei einem Steuerberater entdeckte ich mal in ähnlichem Fall plötzlich ohne Absprache eine TeamViewer Installation auf dem DomänenController und so konfiguriert, dass ein Zugriff immer möglich war. -> Und standen die Haare zu Berge! Niemand wusste mehr, wer das da mal installiert hatte, niemand will es dann gewesen sein.
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
Kreuzberger
ich finde solche externen zugriffe immer für sehr problematisch.
ich hatte mal so einen fall, wo ein Hersteller für CNC Maschinen einen Netzwerkzugang haben wollte auf die von ihm hergestellten Maschinen bei der Nutzerfirma, für die ich mal IT-Sachen machen sollte.
Bei der Nutzerfirma hatte man alles im gesamten haus verteilt mit fritzboxen umgesetzt. Das war nicht so die perfekte Lösung. man hatte einen VPN Zugang für den Hersteller bereitgestellt, der so aber Zugang zu allem im gesamten netz hatte. -> nicht schlau!
Ich empfahl alle fritzboxen zu entfernen und damals UNIfi Vernetzung mit VLans et. umzusetzen, damit der externe Zugang ausschließlich nur noch zu den CNC Maschinen führt, aber nichts weiter.
Ich würde allgemein hier dazu raten wenn es denn nur bei bedarf benötigt wird, den Zugang nur auf bedarf / Zuruf zu öffnen. Darüber hinaus sollte man seitens den Dienstleisters eine Verpflichtung unterschreiben lassen, dass alle diese zugriffe protokolliert werden inkl. name den Mitarbeiters/mitarbeiterin, die das durchführte.
Bei einem Steuerberater entdeckte ich mal in ähnlichem Fall plötzlich ohne Absprache eine TeamViewer Installation auf dem DomänenController und so konfiguriert, dass ein Zugriff immer möglich war. -> Und standen die Haare zu Berge! Niemand wusste mehr, wer das da mal installiert hatte, niemand will es dann gewesen sein.
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
Kreuzberger
Zitat von @kreuzberger:
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
Mit Fortinet funktioniert das relativ einfach.
Ich bastel mir da VPN-Gruppen, weise denen User aus dem AD zu und die bekommen dann ein eigenes VPN-Portal. Und in dem Portal kann ich einstellen, auf welche Server die per VPN zugreifen dürfen.
Den lokalen User muss man halt dann so ausstatten, dass die von da nicht rumhüpfen können.
