7gizmo7
Goto Top

Berechtigungen in einer Domäne

Kurze Frage zwischendurch .

Eine Domänenstruktur mit meheren Servern vorhanden. Beim Beitreten der Server in die Domäne wird die Domänen Admin Gruppe in die Gruppe der lokalen Administratorgruppe eingetragen.

Ist es ratsam diese Gruppe dort zu löschen ? aus der lokalen Administratorengruppe ?

Vielen Dank für eure Anregungen.

Content-Key: 138700

Url: https://administrator.de/contentid/138700

Printed on: June 13, 2024 at 13:06 o'clock

Member: SystemError
SystemError Mar 19, 2010 at 21:38:05 (UTC)
Goto Top
Eher weniger ein Domänen-Admin sollte ja die Domäne administrieren können wenn du diese Gruppe aus den lokalen Administratoren rausnimmst können alle Domänen-Admins nichts installieren und konfigurieren.
Sowas sollte man nur machen wenn man verschiedene Admins hat (z.B.: bei mehreren Standorten, wo nur der Standort Admin auf seinen, am Standort platzieren Servern arbeitet).

Also pauschal kann man das so nicht sagen aber ich würde es für z.B. kleinere Unternehmen nicht empfehlen aber das ist wieder davon abhängig, wie ihr eure Rechte strukturiert.

Gruß Marco
Member: Dani
Dani Mar 19, 2010 at 22:05:27 (UTC)
Goto Top
Moin,
Sowas sollte man nur machen wenn man verschiedene Admins hat (z.B.: bei mehreren Standorten, wo nur der Standort Admin auf seinen, am Standort platzieren Servern arbeitet).
Das ist aus meiner Sicht der falsche Ansatz. Denn auch bei mehreren Standorten wird es immer eine IT-Abteilung geben, die über allen anderen steht. Was eher Sinn macht und auch einfach einrichten lässt sind Standortadmin den du per GPO den lokalen Administratorgruppe zuweist. Somit haben die Head-Admins immer noch Zugriff. Stell dir mal vor der Domänen-Admin möchte an einem Client einen Fehler manuell beheben und kann sich mit seiner globalen Kennung nicht anmelden sondern muss immer den lokalen Admin des Rechners benutzen. Ist einfach umständlich!

Ist es ratsam diese Gruppe dort zu löschen ? aus der lokalen Administratorengruppe ?
Gegenfrage: Warum willst du den Admin überhaupt löschen? Er wird beim Domänenbeitrtitt automatisch hinzugefügt. So dass der AD-Admin Vollzugriff auf den Client hat.


Grüße,
Dani
Member: DerWoWusste
DerWoWusste Mar 20, 2010 at 20:24:22 (UTC)
Goto Top
Hi.
Wenn Du die Domänenadmin-Kennwörter nicht vernünftig setzt und schützt, liegt das Problem woanders. Sind diese geschützt - wo liegt dann Dein Problem damit?
Klar könnte man argumentieren, dass es sicherer wird, wenn es weniger Admins sind, aber die Domänenadmins gehören ja eh gut geschützt.
Member: 7Gizmo7
7Gizmo7 Apr 15, 2010 at 07:48:42 (UTC)
Goto Top
erstmal vielen Dank für alle Antworten .