Domänen Admins produktiv?
Hallo zusammen,
mich interssiert wie ihr so mit den Domänen-Admin Rechten umgeht?
Arbeitet ihr selber als IT Admin auf eurem Firmenrechner als Domänenadmin? Oder aber lokal auch nur mit User Rechten?
MFG Ramsys
mich interssiert wie ihr so mit den Domänen-Admin Rechten umgeht?
Arbeitet ihr selber als IT Admin auf eurem Firmenrechner als Domänenadmin? Oder aber lokal auch nur mit User Rechten?
MFG Ramsys
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 341865
Url: https://administrator.de/forum/domaenen-admins-produktiv-341865.html
Ausgedruckt am: 27.12.2024 um 05:12 Uhr
16 Kommentare
Neuester Kommentar
Hi,
dieses Thema wurde schon so oft hier nachgefragt ...
Wir bei uns trennen strikt zwischen "normalem" Benutzerkonto und zwischen Admin-Konten. Admin-Konten bekommen nur solche Rechte, welche für die jeweilige Admin-Tätigkeit erforderlich sind. Nicht mehr und nicht weniger. Und Domänen-Admin sind bei uns bis auf ein paar ganz wenige Admins niemand.
Die "normalen" Konten sind für die Anmeldung am Arbeitsplatz. Die Admin-Konten für das Verbinden mit den Server, Diensten und/oder Anwendungen.
E.
Edit: z.B. Welches Konzept fuer Adminaccounts in der AD
dieses Thema wurde schon so oft hier nachgefragt ...
Wir bei uns trennen strikt zwischen "normalem" Benutzerkonto und zwischen Admin-Konten. Admin-Konten bekommen nur solche Rechte, welche für die jeweilige Admin-Tätigkeit erforderlich sind. Nicht mehr und nicht weniger. Und Domänen-Admin sind bei uns bis auf ein paar ganz wenige Admins niemand.
Die "normalen" Konten sind für die Anmeldung am Arbeitsplatz. Die Admin-Konten für das Verbinden mit den Server, Diensten und/oder Anwendungen.
E.
Edit: z.B. Welches Konzept fuer Adminaccounts in der AD
Hi.
Man nutzt immer nur die Rechte, die man für bestimmte Aufgaben braucht. Arbeite als normaler Nutzer, wenn Du Office/Mail/Internet etc. machst. Arbeite als Domänenadmin nur, wenn Du Sachen machst, die Domänenadminrechte erfordern - dazu zählt auf gar keinen Fall generell alles, wofür man lokale Adminrechte braucht, wie zum Beispiel die Administration von Mitgliedsservern oder Clientrechnern.
Wenn es sehr genau genommen werden soll mit der Sicherheit, dann verwende bereits für die Eingabe der Domänenadmincredentials einen eigenen Rechner, der sonst für nichts Weiteres verwendet wird und natürlich auch verschlüsselt und vom Rest des Netzwerkes isoliert ist [edit], am besten steht der auch nicht einfach irgendwo rum, sondern wird bei Nichtnutzung unter Verschluss gehalten.
Man nutzt immer nur die Rechte, die man für bestimmte Aufgaben braucht. Arbeite als normaler Nutzer, wenn Du Office/Mail/Internet etc. machst. Arbeite als Domänenadmin nur, wenn Du Sachen machst, die Domänenadminrechte erfordern - dazu zählt auf gar keinen Fall generell alles, wofür man lokale Adminrechte braucht, wie zum Beispiel die Administration von Mitgliedsservern oder Clientrechnern.
Wenn es sehr genau genommen werden soll mit der Sicherheit, dann verwende bereits für die Eingabe der Domänenadmincredentials einen eigenen Rechner, der sonst für nichts Weiteres verwendet wird und natürlich auch verschlüsselt und vom Rest des Netzwerkes isoliert ist [edit], am besten steht der auch nicht einfach irgendwo rum, sondern wird bei Nichtnutzung unter Verschluss gehalten.
Und auch hier nochmal nachzulesen
Dom Admins die Rechte per GPO entziehen sich zu Org Enterpriseadmins hochzustufen
Grüße Uwe
Dom Admins die Rechte per GPO entziehen sich zu Org Enterpriseadmins hochzustufen
Grüße Uwe
Hi
muss das @DerWoWusste zustimmen, wir haben unsere "normalen" Accounts und zusätzliche Accounts mit denen administrative Rechte auf den Clients haben, weitere Accounts für die Administration von Servern. Den Domänen-Admin Account nutzen wir lediglich wenn am AD grundlegende Daten angepasst werden müssen.
Gruß
@clSchak
muss das @DerWoWusste zustimmen, wir haben unsere "normalen" Accounts und zusätzliche Accounts mit denen administrative Rechte auf den Clients haben, weitere Accounts für die Administration von Servern. Den Domänen-Admin Account nutzen wir lediglich wenn am AD grundlegende Daten angepasst werden müssen.
Gruß
@clSchak
die IT Admins arbeiten mit ihrem normalem User Account
Ja, das ist doch normal.Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client
Kannst Du umsetzen, wie in Sicherer Umgang mit Supportkonten beschrieben, dann musst Du Dir nicht einmal Kennwörter ausdenkenZusätzlich hat jeder Admin noch einen Domänenadmin Account...
das ist vernünftig, falls alle Domänenadministration machen sollenum tiefere Sachen am DC...
"tiefere" Sachen?o.ä. zu administrieren
"oder Ähnliches" -?Domänenadmins nur für die Bearbeitung von Dingen, die nur ein Domänenadmin kann.
Wenn Du es ganz, ganz genau nimmst, solltest Du sogar die Domänenadmins aus der lokalen Admingruppe auf den Clients und Migliedsservern verbannen - wenn man meinen Link befolgt, sind sie dort überflüssig.
Machst du wirklich alles über RDP?
Warum nicht? Die aufpoppenden Dinge sind ja nicht nutzer-exklusiv. kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Klar. Nimm ein Anmeldeskript mitecho %computername%>>\\server\share\%username%.txt
Soweit so gut. Aber wie regelst du das mit spontan installationen von Software? Machst du wirklich alles über RDP?
Was hat das jetzt mit RDP zu tun?Von einem Programm ist ein Update welches jetzt direkt eingespielt werden muss wo dann die Anmeldemaske aufpoppt.
Überarbeite doch bitte mal Deine Gedanken! Anschließend diesen Satz.Desweiteren kann ich nicht sagen welcher Rechner mit welchem Rechner Namen wo steht. Oder kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Das kann man, ja. dafür findet man ne Menge im Internet. Einfach mal danach suchen ...
Ich halte mich für so überlegen das ich immer als Administrator arbeite (höhö)
(: ....
(: ....
Zitat von @emeriks:
Ich halte mich für so überlegen das ich immer als Administrator arbeite
Ich hoffe, es ist nur ein Witz. Denn dieser Satz beschreibt ein Paradoxon.Das sollte nur ein Witz sein.
Lg
Airine