beny11
Goto Top

Domänen-Admins Gruppe ausschliessen

Hi,

ich habe ein kleines Problem. Jeder Rechner oder Server, der zur Domäne hinzugefügt wird, bekommt die AD-Gruppe "Domänen-Admins" zu den lokalen Administratoren hinzugefügt.

Das ist wohl standardmässig so, soll aber nicht sein. Auf keinem Rechner/Server ausser dem Domänen Controller selbst soll sich bei mir ein Domänen Admin anmelden können.

Meine Fragen....

1. Kann ich es verhindern, dass die AD-Gruppe "Domänen-Admins" überhaupt sich bei den lokalen Administratoren einträgt?

2. Wie kann ich es so einstellen, dass Domänen-Admins sich wirklich nur auf dem Domänen Controllern anmelden dürfen und nirgendwo anders?

Thanks

Content-ID: 33686294693

Url: https://administrator.de/forum/domaenen-admins-gruppe-ausschliessen-33686294693.html

Ausgedruckt am: 26.12.2024 um 09:12 Uhr

139689
139689 08.12.2023 um 09:54:48 Uhr
Goto Top
Penny.Cilin
Penny.Cilin 08.12.2023 um 09:56:20 Uhr
Goto Top
Moin,

ist das ein Firmenumfeld oder eine private Domäne?
Und Du weißt schon, daß ein Administrator sich die Berechtigungen aufgrund seines Status verschaffen kann?
Außerdem, warum sollen sich Domänen Administratoren nicht auf Server NICHT anmelden dürfen?
Der Sinn erschließt sich mir nicht.

Gruss Penny.
Spirit-of-Eli
Spirit-of-Eli 08.12.2023 um 09:57:27 Uhr
Goto Top
Moin,

das ist wohl die falsche Herangehensweise.
Du solltest dein Admin Konzept über arbeiten und nur die nötigsten User zu Dom Admins machen.

Gruß
Spirit
NordicMike
NordicMike 08.12.2023 aktualisiert um 10:01:05 Uhr
Goto Top
Klar, wirf die Domänenadmins einfach aus der lokalen Gruppe des Laptops "Administratoren" raus. Das geht auch per GPO an alle Laptops. Dann sind sie auch bei neuen Laptops nicht mehr zu sehen. Um sie jedoch noch zentral verwalten zu können brauchst du mindestens einen Admin auf den Laptops, ich habe dafür spezielle Client-Admins.

Am besten schaust du dir das 3-Tiel Modell an:

https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...

Rest bei Google.
JasperBeardley
JasperBeardley 08.12.2023 um 10:06:22 Uhr
Goto Top
Zitat von @Penny.Cilin:

Moin

Außerdem, warum sollen sich Domänen Administratoren nicht auf Server NICHT anmelden dürfen?
Der Sinn erschließt sich mir nicht.

Gruss Penny.

Weil mit einem Domänen Administrator die Domäne auf einem Dc administriert wird.
Ansonsten sollten die sich aus Sicherheitsgründen auf keinem Server anmelden dürfen.

Siehe das Stichwort Tier-Modell von @NordicMike

Gruß
Jasper
DerWoWusste
DerWoWusste 08.12.2023 um 10:19:32 Uhr
Goto Top
Das Rauswerfen aus der Admingruppe kann man machen. Das Verbieten der Anmeldung muss man machen und da ist der Link zu Franky passend.
8585324113
8585324113 09.12.2023 um 03:51:32 Uhr
Goto Top
Zitat von @Penny.Cilin:

Moin,

ist das ein Firmenumfeld oder eine private Domäne?
Und Du weißt schon, daß ein Administrator sich die Berechtigungen aufgrund seines Status verschaffen kann?
Außerdem, warum sollen sich Domänen Administratoren nicht auf Server NICHT anmelden dürfen?
Der Sinn erschließt sich mir nicht.

Gruss Penny.

Weil es die Domain-Admins sind bzw eine derer Gruppen?

In modernen Konzepten kann sich nicht diese Gruppe anmelden.
Und auch so sollten Mitglieder dieser Gruppe nicht die interaktive Anmeldung nutzen.

Das macht man schon lange so nicht, nicht mehr.