ramsys1991
Goto Top

Domänen Admins produktiv?

Hallo zusammen,

mich interssiert wie ihr so mit den Domänen-Admin Rechten umgeht?
Arbeitet ihr selber als IT Admin auf eurem Firmenrechner als Domänenadmin? Oder aber lokal auch nur mit User Rechten?

MFG Ramsys

Content-ID: 341865

Url: https://administrator.de/forum/domaenen-admins-produktiv-341865.html

Ausgedruckt am: 27.12.2024 um 05:12 Uhr

emeriks
emeriks 28.06.2017 aktualisiert um 10:23:53 Uhr
Goto Top
Hi,
dieses Thema wurde schon so oft hier nachgefragt ...

Wir bei uns trennen strikt zwischen "normalem" Benutzerkonto und zwischen Admin-Konten. Admin-Konten bekommen nur solche Rechte, welche für die jeweilige Admin-Tätigkeit erforderlich sind. Nicht mehr und nicht weniger. Und Domänen-Admin sind bei uns bis auf ein paar ganz wenige Admins niemand.
Die "normalen" Konten sind für die Anmeldung am Arbeitsplatz. Die Admin-Konten für das Verbinden mit den Server, Diensten und/oder Anwendungen.

E.

Edit: z.B. Welches Konzept fuer Adminaccounts in der AD
DerWoWusste
DerWoWusste 28.06.2017 aktualisiert um 10:46:36 Uhr
Goto Top
Hi.

Man nutzt immer nur die Rechte, die man für bestimmte Aufgaben braucht. Arbeite als normaler Nutzer, wenn Du Office/Mail/Internet etc. machst. Arbeite als Domänenadmin nur, wenn Du Sachen machst, die Domänenadminrechte erfordern - dazu zählt auf gar keinen Fall generell alles, wofür man lokale Adminrechte braucht, wie zum Beispiel die Administration von Mitgliedsservern oder Clientrechnern.

Wenn es sehr genau genommen werden soll mit der Sicherheit, dann verwende bereits für die Eingabe der Domänenadmincredentials einen eigenen Rechner, der sonst für nichts Weiteres verwendet wird und natürlich auch verschlüsselt und vom Rest des Netzwerkes isoliert ist [edit], am besten steht der auch nicht einfach irgendwo rum, sondern wird bei Nichtnutzung unter Verschluss gehalten.
certifiedit.net
certifiedit.net 28.06.2017 um 10:26:34 Uhr
Goto Top
Benutzer ist ein Benutzer und Admin ist Admin. Ganz einfach.
colinardo
colinardo 28.06.2017 um 10:35:30 Uhr
Goto Top
clSchak
clSchak 28.06.2017 um 10:36:57 Uhr
Goto Top
Hi

muss das @DerWoWusste zustimmen, wir haben unsere "normalen" Accounts und zusätzliche Accounts mit denen administrative Rechte auf den Clients haben, weitere Accounts für die Administration von Servern. Den Domänen-Admin Account nutzen wir lediglich wenn am AD grundlegende Daten angepasst werden müssen.

Gruß
@clSchak
VGem-e
VGem-e 28.06.2017 um 10:47:21 Uhr
Goto Top
Moin,

ich mache neben der Administration auch eine Tätigkeit ein einem komplett anderen Fachbereich.

Administrator-Account dient ausschließlich administrativen Tätigkeiten!
Ansonsten, wie die Kollegen schon hinwiesen, ist ein normaler Benutzer-Account völlig ausreichend!

Gruß
VGem-e
Ramsys1991
Ramsys1991 28.06.2017 um 10:47:29 Uhr
Goto Top
Das habe ich mir fast gedacht.
Was meint ihr zu dem Konzept einfach zusagen die IT Admins arbeiten mit ihrem normalem User Account.
Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client.
Zusätzlich hat jeder Admin noch einen Domänenadmin Account um tiefere Sachen am DC o.ä. zu administrieren.
DerWoWusste
DerWoWusste 28.06.2017 aktualisiert um 10:56:39 Uhr
Goto Top
die IT Admins arbeiten mit ihrem normalem User Account
Ja, das ist doch normal.
Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client
Kannst Du umsetzen, wie in Sicherer Umgang mit Supportkonten beschrieben, dann musst Du Dir nicht einmal Kennwörter ausdenken
Zusätzlich hat jeder Admin noch einen Domänenadmin Account...
das ist vernünftig, falls alle Domänenadministration machen sollen
um tiefere Sachen am DC...
"tiefere" Sachen?
o.ä. zu administrieren
"oder Ähnliches" -?
Domänenadmins nur für die Bearbeitung von Dingen, die nur ein Domänenadmin kann.
Wenn Du es ganz, ganz genau nimmst, solltest Du sogar die Domänenadmins aus der lokalen Admingruppe auf den Clients und Migliedsservern verbannen - wenn man meinen Link befolgt, sind sie dort überflüssig.
Ramsys1991
Ramsys1991 28.06.2017 um 11:11:15 Uhr
Goto Top
Zitat von @DerWoWusste:

die IT Admins arbeiten mit ihrem normalem User Account
Ja, das ist doch normal.
Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client
Kannst Du umsetzen, wie in Sicherer Umgang mit Supportkonten beschrieben, dann musst Du Dir nicht einmal Kennwörter ausdenken
Soweit so gut. Aber wie regelst du das mit spontan installationen von Software? Machst du wirklich alles über RDP? Von einem Programm ist ein Update welches jetzt direkt eingespielt werden muss wo dann die Anmeldemaske aufpoppt.
Desweiteren kann ich nicht sagen welcher Rechner mit welchem Rechner Namen wo steht. Oder kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Zusätzlich hat jeder Admin noch einen Domänenadmin Account...
das ist vernünftig, falls alle Domänenadministration machen sollen
um tiefere Sachen am DC...
"tiefere" Sachen?
o.ä. zu administrieren
"oder Ähnliches" -?
Domänenadmins nur für die Bearbeitung von Dingen, die nur ein Domänenadmin kann.
Wenn Du es ganz, ganz genau nimmst, solltest Du sogar die Domänenadmins aus der lokalen Admingruppe auf den Clients und Migliedsservern verbannen - wenn man meinen Link befolgt, sind sie dort überflüssig.
Danke
DerWoWusste
DerWoWusste 28.06.2017 aktualisiert um 11:28:30 Uhr
Goto Top
Machst du wirklich alles über RDP?
Warum nicht? Die aufpoppenden Dinge sind ja nicht nutzer-exklusiv.
kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Klar. Nimm ein Anmeldeskript mit
echo %computername%>>\\server\share\%username%.txt
oder Ähnliches (Datenschutz beachten - Lesbarkeit nicht für alle gewähren. Falls Anmeldezeit mit reinkommt ist das eine Art Leistungsüberwachung in den Augen von manchen Datenschützern).
emeriks
emeriks 28.06.2017 aktualisiert um 11:26:31 Uhr
Goto Top
Soweit so gut. Aber wie regelst du das mit spontan installationen von Software? Machst du wirklich alles über RDP?
Was hat das jetzt mit RDP zu tun?
Von einem Programm ist ein Update welches jetzt direkt eingespielt werden muss wo dann die Anmeldemaske aufpoppt.
Überarbeite doch bitte mal Deine Gedanken! Anschließend diesen Satz.
Desweiteren kann ich nicht sagen welcher Rechner mit welchem Rechner Namen wo steht. Oder kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Das kann man, ja. dafür findet man ne Menge im Internet. Einfach mal danach suchen ...
Penny.Cilin
Penny.Cilin 28.06.2017 um 12:41:03 Uhr
Goto Top
Ich stimme meinen Vorrednern zu. Nur für administrative Tätigkeiten wird das bzw. ein Administratorkonto (Lokal / Domäne) benutzt.
Ansonsten verwende ich ein normales Benutzerkonto.
132934
132934 29.06.2017 um 22:59:49 Uhr
Goto Top
Ich halte mich für so überlegen das ich immer als Administrator arbeite (höhö)

(: ....
emeriks
emeriks 30.06.2017 um 08:24:52 Uhr
Goto Top
Ich halte mich für so überlegen das ich immer als Administrator arbeite
Ich hoffe, es ist nur ein Witz. Denn dieser Satz beschreibt ein Paradoxon.
132934
132934 30.06.2017 aktualisiert um 09:48:30 Uhr
Goto Top
Zitat von @emeriks:

Ich halte mich für so überlegen das ich immer als Administrator arbeite
Ich hoffe, es ist nur ein Witz. Denn dieser Satz beschreibt ein Paradoxon.

Das sollte nur ein Witz sein.

Lg

Airine
maretz
maretz 30.06.2017 um 15:37:42 Uhr
Goto Top
Stimmt, du arbeitest (zumindest vom Bild her) immer als Administratorin :D