Domänen-Admins Gruppe ausschliessen
Hi,
ich habe ein kleines Problem. Jeder Rechner oder Server, der zur Domäne hinzugefügt wird, bekommt die AD-Gruppe "Domänen-Admins" zu den lokalen Administratoren hinzugefügt.
Das ist wohl standardmässig so, soll aber nicht sein. Auf keinem Rechner/Server ausser dem Domänen Controller selbst soll sich bei mir ein Domänen Admin anmelden können.
Meine Fragen....
1. Kann ich es verhindern, dass die AD-Gruppe "Domänen-Admins" überhaupt sich bei den lokalen Administratoren einträgt?
2. Wie kann ich es so einstellen, dass Domänen-Admins sich wirklich nur auf dem Domänen Controllern anmelden dürfen und nirgendwo anders?
Thanks
ich habe ein kleines Problem. Jeder Rechner oder Server, der zur Domäne hinzugefügt wird, bekommt die AD-Gruppe "Domänen-Admins" zu den lokalen Administratoren hinzugefügt.
Das ist wohl standardmässig so, soll aber nicht sein. Auf keinem Rechner/Server ausser dem Domänen Controller selbst soll sich bei mir ein Domänen Admin anmelden können.
Meine Fragen....
1. Kann ich es verhindern, dass die AD-Gruppe "Domänen-Admins" überhaupt sich bei den lokalen Administratoren einträgt?
2. Wie kann ich es so einstellen, dass Domänen-Admins sich wirklich nur auf dem Domänen Controllern anmelden dürfen und nirgendwo anders?
Thanks
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33686294693
Url: https://administrator.de/forum/domaenen-admins-gruppe-ausschliessen-33686294693.html
Ausgedruckt am: 26.12.2024 um 09:12 Uhr
7 Kommentare
Neuester Kommentar
Du willst wohl das hier anpassen?
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec ...
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec ...
Klar, wirf die Domänenadmins einfach aus der lokalen Gruppe des Laptops "Administratoren" raus. Das geht auch per GPO an alle Laptops. Dann sind sie auch bei neuen Laptops nicht mehr zu sehen. Um sie jedoch noch zentral verwalten zu können brauchst du mindestens einen Admin auf den Laptops, ich habe dafür spezielle Client-Admins.
Am besten schaust du dir das 3-Tiel Modell an:
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
Rest bei Google.
Am besten schaust du dir das 3-Tiel Modell an:
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
Rest bei Google.
Außerdem, warum sollen sich Domänen Administratoren nicht auf Server NICHT anmelden dürfen?
Der Sinn erschließt sich mir nicht.
Gruss Penny.
Der Sinn erschließt sich mir nicht.
Gruss Penny.
Weil mit einem Domänen Administrator die Domäne auf einem Dc administriert wird.
Ansonsten sollten die sich aus Sicherheitsgründen auf keinem Server anmelden dürfen.
Siehe das Stichwort Tier-Modell von @NordicMike
Gruß
Jasper
Zitat von @Penny.Cilin:
Moin,
ist das ein Firmenumfeld oder eine private Domäne?
Und Du weißt schon, daß ein Administrator sich die Berechtigungen aufgrund seines Status verschaffen kann?
Außerdem, warum sollen sich Domänen Administratoren nicht auf Server NICHT anmelden dürfen?
Der Sinn erschließt sich mir nicht.
Gruss Penny.
Moin,
ist das ein Firmenumfeld oder eine private Domäne?
Und Du weißt schon, daß ein Administrator sich die Berechtigungen aufgrund seines Status verschaffen kann?
Außerdem, warum sollen sich Domänen Administratoren nicht auf Server NICHT anmelden dürfen?
Der Sinn erschließt sich mir nicht.
Gruss Penny.
Weil es die Domain-Admins sind bzw eine derer Gruppen?
In modernen Konzepten kann sich nicht diese Gruppe anmelden.
Und auch so sollten Mitglieder dieser Gruppe nicht die interaktive Anmeldung nutzen.
Das macht man schon lange so nicht, nicht mehr.