6
Bestimmten Admins Accounts die Anmeldung am Server verbieten
Es soll einem Bestimmten Admin Account die Anmeldung am Server verboten werden.
Hallo liebe Community,
bei einem Kunden gibt es einen Admin Account, der von externen Systembetreuern (Telefonanlage, Branchensoftware) genutzt wird um z.B. Einstellungen an den Clients zu ändern.
Nun ist es aber schon häufiger vorgekommen, das ein Systembetreuer sich z.B. einfach einen zusätzlichen Benutzer angelgt, ein Exchange Postfach erstellt oder eine Einstellung ändert. Beim letzten Mal hat er den Exchange Empfangsconnector umkonfiguriert mit dem Ergebnis, dass die Hälfte der an den Kunden geschickten E-Mails nicht mehr ankam. Da ich bei sowas keinen Spass verstehe (wir sind das betreuende Systemhaus für das Netz, wenn er was braucht kann er bescheid sagen) und er trotz Gespräch keine Einsicht hat, will ich nun die Brecheisen Methode nutzen. Sein Account soll keine Anmeldemöglichkeit mehr am Domänenntz haben (Er hat von mir einen lokalen Admin Account auf dem Server bekommen, auf dem er Arbeiten muss). Nun die Frage:
Wie stelle ich das am besten an?
Gruß
Neomatic
bei einem Kunden gibt es einen Admin Account, der von externen Systembetreuern (Telefonanlage, Branchensoftware) genutzt wird um z.B. Einstellungen an den Clients zu ändern.
Nun ist es aber schon häufiger vorgekommen, das ein Systembetreuer sich z.B. einfach einen zusätzlichen Benutzer angelgt, ein Exchange Postfach erstellt oder eine Einstellung ändert. Beim letzten Mal hat er den Exchange Empfangsconnector umkonfiguriert mit dem Ergebnis, dass die Hälfte der an den Kunden geschickten E-Mails nicht mehr ankam. Da ich bei sowas keinen Spass verstehe (wir sind das betreuende Systemhaus für das Netz, wenn er was braucht kann er bescheid sagen) und er trotz Gespräch keine Einsicht hat, will ich nun die Brecheisen Methode nutzen. Sein Account soll keine Anmeldemöglichkeit mehr am Domänenntz haben (Er hat von mir einen lokalen Admin Account auf dem Server bekommen, auf dem er Arbeiten muss). Nun die Frage:
Wie stelle ich das am besten an?
Gruß
Neomatic
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181792
Url: https://administrator.de/contentid/181792
Printed on: April 18, 2024 at 18:04 o'clock
6 Comments
Latest comment
Hey,
deaktiviere den Domänen-Admin-Account, oder, je nach Domäne, lass die Anmeldung nur an bestimmten Clients zu. (Eigenschaften vom Benutzer - Konto - Anmelden an)
greetz
ravers
deaktiviere den Domänen-Admin-Account, oder, je nach Domäne, lass die Anmeldung nur an bestimmten Clients zu. (Eigenschaften vom Benutzer - Konto - Anmelden an)
greetz
ravers
Moin,
du kannst dem "Service" auch einfach nur einen lokalen Adminaccount auf den Clients einrichten, damit er gar nicht mehr auf deine Server kommt.
Noch meinen Meinung: Wenn ein Dienstleister bei mir so einen Blödsinn machen würden, dann wäre er aber schon längst nicht mehr da...
Gruß
du kannst dem "Service" auch einfach nur einen lokalen Adminaccount auf den Clients einrichten, damit er gar nicht mehr auf deine Server kommt.
Noch meinen Meinung: Wenn ein Dienstleister bei mir so einen Blödsinn machen würden, dann wäre er aber schon längst nicht mehr da...
Gruß
Moin,
schieb die Clients in eine OU und gib ihm darauf Rechte, und entziehe sie auf den anderen OUs
Gruß
24
schieb die Clients in eine OU und gib ihm darauf Rechte, und entziehe sie auf den anderen OUs
Gruß
24
Hallo,
ich hoffe, in deiner obigen Beschreibung ist ein Fehler.
...lokalen Admin Account auf dem Server bekommen...
Wenn er auf dem Server (DC) admin ist, dann kann er sich in jede Gruppe eintragen. Damit kommt er immer in den Besitz des Universalschüssels.
Wenn er aber nur auf den Clients Admin sein soll, so reicht der Rauswurf aus dem Domain Admins und die Aufnahme in eine auf den Clients vorhandene Adminlisten. Wenn ihr ein externer Dienstleister seit, dann mach seinem Chef doch eine Aufstellung der von Ihm durch seine Aktivitäten verursachten Mehrkosten.
Grüße vom Peter
ich hoffe, in deiner obigen Beschreibung ist ein Fehler.
...lokalen Admin Account auf dem Server bekommen...
Wenn er auf dem Server (DC) admin ist, dann kann er sich in jede Gruppe eintragen. Damit kommt er immer in den Besitz des Universalschüssels.
Wenn er aber nur auf den Clients Admin sein soll, so reicht der Rauswurf aus dem Domain Admins und die Aufnahme in eine auf den Clients vorhandene Adminlisten. Wenn ihr ein externer Dienstleister seit, dann mach seinem Chef doch eine Aufstellung der von Ihm durch seine Aktivitäten verursachten Mehrkosten.
Grüße vom Peter
Hallo,
@ muftypeter:
Nein auf dem DC ist er nicht in der lokalen Admin Gruppe. Wir haben da die Dienste strickt getrennt (nach dem Motto: Pro Dienst einen Server). Es sind insgesammt 7 virtuelle Server. Aber er braucht nur auf 1 Server Zugriff. Vom Rest hat er gefälligst die Finger zu lassen. Die Auflistung der Mehrkosten hat der Chef schon bekommen.
Gruß
Neomatic
@ muftypeter:
Nein auf dem DC ist er nicht in der lokalen Admin Gruppe. Wir haben da die Dienste strickt getrennt (nach dem Motto: Pro Dienst einen Server). Es sind insgesammt 7 virtuelle Server. Aber er braucht nur auf 1 Server Zugriff. Vom Rest hat er gefälligst die Finger zu lassen. Die Auflistung der Mehrkosten hat der Chef schon bekommen.
Gruß
Neomatic
So ich habe nun die Methode von Ravers umgesetzt. Damit wäre der Zugang erstmal erschwert. Wenn er es trotzdem schafft sich an einem anderen Server anzumelden, dann muss ich wohl noch härtere Geschütze auffahren.
Vielen Dank für eure Antworten und einen schönen Feierabend....
Gruß
Neomatic
Vielen Dank für eure Antworten und einen schönen Feierabend....
Gruß
Neomatic
