16
Domänen Admins produktiv?
Hallo zusammen,
mich interssiert wie ihr so mit den Domänen-Admin Rechten umgeht?
Arbeitet ihr selber als IT Admin auf eurem Firmenrechner als Domänenadmin? Oder aber lokal auch nur mit User Rechten?
MFG Ramsys
mich interssiert wie ihr so mit den Domänen-Admin Rechten umgeht?
Arbeitet ihr selber als IT Admin auf eurem Firmenrechner als Domänenadmin? Oder aber lokal auch nur mit User Rechten?
MFG Ramsys
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 341865
Url: https://administrator.de/contentid/341865
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
16 Kommentare
Neuester Kommentar
Hi,
dieses Thema wurde schon so oft hier nachgefragt ...
Wir bei uns trennen strikt zwischen "normalem" Benutzerkonto und zwischen Admin-Konten. Admin-Konten bekommen nur solche Rechte, welche für die jeweilige Admin-Tätigkeit erforderlich sind. Nicht mehr und nicht weniger. Und Domänen-Admin sind bei uns bis auf ein paar ganz wenige Admins niemand.
Die "normalen" Konten sind für die Anmeldung am Arbeitsplatz. Die Admin-Konten für das Verbinden mit den Server, Diensten und/oder Anwendungen.
E.
Edit: z.B. Welches Konzept fuer Adminaccounts in der AD
dieses Thema wurde schon so oft hier nachgefragt ...
Wir bei uns trennen strikt zwischen "normalem" Benutzerkonto und zwischen Admin-Konten. Admin-Konten bekommen nur solche Rechte, welche für die jeweilige Admin-Tätigkeit erforderlich sind. Nicht mehr und nicht weniger. Und Domänen-Admin sind bei uns bis auf ein paar ganz wenige Admins niemand.
Die "normalen" Konten sind für die Anmeldung am Arbeitsplatz. Die Admin-Konten für das Verbinden mit den Server, Diensten und/oder Anwendungen.
E.
Edit: z.B. Welches Konzept fuer Adminaccounts in der AD
Hi.
Man nutzt immer nur die Rechte, die man für bestimmte Aufgaben braucht. Arbeite als normaler Nutzer, wenn Du Office/Mail/Internet etc. machst. Arbeite als Domänenadmin nur, wenn Du Sachen machst, die Domänenadminrechte erfordern - dazu zählt auf gar keinen Fall generell alles, wofür man lokale Adminrechte braucht, wie zum Beispiel die Administration von Mitgliedsservern oder Clientrechnern.
Wenn es sehr genau genommen werden soll mit der Sicherheit, dann verwende bereits für die Eingabe der Domänenadmincredentials einen eigenen Rechner, der sonst für nichts Weiteres verwendet wird und natürlich auch verschlüsselt und vom Rest des Netzwerkes isoliert ist [edit], am besten steht der auch nicht einfach irgendwo rum, sondern wird bei Nichtnutzung unter Verschluss gehalten.
Man nutzt immer nur die Rechte, die man für bestimmte Aufgaben braucht. Arbeite als normaler Nutzer, wenn Du Office/Mail/Internet etc. machst. Arbeite als Domänenadmin nur, wenn Du Sachen machst, die Domänenadminrechte erfordern - dazu zählt auf gar keinen Fall generell alles, wofür man lokale Adminrechte braucht, wie zum Beispiel die Administration von Mitgliedsservern oder Clientrechnern.
Wenn es sehr genau genommen werden soll mit der Sicherheit, dann verwende bereits für die Eingabe der Domänenadmincredentials einen eigenen Rechner, der sonst für nichts Weiteres verwendet wird und natürlich auch verschlüsselt und vom Rest des Netzwerkes isoliert ist [edit], am besten steht der auch nicht einfach irgendwo rum, sondern wird bei Nichtnutzung unter Verschluss gehalten.
Benutzer ist ein Benutzer und Admin ist Admin. Ganz einfach.
Und auch hier nochmal nachzulesen
Dom Admins die Rechte per GPO entziehen sich zu Org Enterpriseadmins hochzustufen
Grüße Uwe
Dom Admins die Rechte per GPO entziehen sich zu Org Enterpriseadmins hochzustufen
Grüße Uwe
Hi
muss das @DerWoWusste zustimmen, wir haben unsere "normalen" Accounts und zusätzliche Accounts mit denen administrative Rechte auf den Clients haben, weitere Accounts für die Administration von Servern. Den Domänen-Admin Account nutzen wir lediglich wenn am AD grundlegende Daten angepasst werden müssen.
Gruß
@clSchak
muss das @DerWoWusste zustimmen, wir haben unsere "normalen" Accounts und zusätzliche Accounts mit denen administrative Rechte auf den Clients haben, weitere Accounts für die Administration von Servern. Den Domänen-Admin Account nutzen wir lediglich wenn am AD grundlegende Daten angepasst werden müssen.
Gruß
@clSchak
Moin,
ich mache neben der Administration auch eine Tätigkeit ein einem komplett anderen Fachbereich.
Administrator-Account dient ausschließlich administrativen Tätigkeiten!
Ansonsten, wie die Kollegen schon hinwiesen, ist ein normaler Benutzer-Account völlig ausreichend!
Gruß
VGem-e
ich mache neben der Administration auch eine Tätigkeit ein einem komplett anderen Fachbereich.
Administrator-Account dient ausschließlich administrativen Tätigkeiten!
Ansonsten, wie die Kollegen schon hinwiesen, ist ein normaler Benutzer-Account völlig ausreichend!
Gruß
VGem-e
Das habe ich mir fast gedacht.
Was meint ihr zu dem Konzept einfach zusagen die IT Admins arbeiten mit ihrem normalem User Account.
Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client.
Zusätzlich hat jeder Admin noch einen Domänenadmin Account um tiefere Sachen am DC o.ä. zu administrieren.
Was meint ihr zu dem Konzept einfach zusagen die IT Admins arbeiten mit ihrem normalem User Account.
Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client.
Zusätzlich hat jeder Admin noch einen Domänenadmin Account um tiefere Sachen am DC o.ä. zu administrieren.
die IT Admins arbeiten mit ihrem normalem User Account
Ja, das ist doch normal.Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client
Kannst Du umsetzen, wie in Sicherer Umgang mit Supportkonten beschrieben, dann musst Du Dir nicht einmal Kennwörter ausdenkenZusätzlich hat jeder Admin noch einen Domänenadmin Account...
das ist vernünftig, falls alle Domänenadministration machen sollenum tiefere Sachen am DC...
"tiefere" Sachen?o.ä. zu administrieren
"oder Ähnliches" -?Domänenadmins nur für die Bearbeitung von Dingen, die nur ein Domänenadmin kann.
Wenn Du es ganz, ganz genau nimmst, solltest Du sogar die Domänenadmins aus der lokalen Admingruppe auf den Clients und Migliedsservern verbannen - wenn man meinen Link befolgt, sind sie dort überflüssig.
Zitat von @DerWoWusste:
Soweit so gut. Aber wie regelst du das mit spontan installationen von Software? Machst du wirklich alles über RDP? Von einem Programm ist ein Update welches jetzt direkt eingespielt werden muss wo dann die Anmeldemaske aufpoppt.die IT Admins arbeiten mit ihrem normalem User Account
Ja, das ist doch normal.Sollte es Probleme geben an einem anderen Client Rechner hat jeder Admin noch einen Account mit lokalen Amdinrechten auf jedem Client
Kannst Du umsetzen, wie in Sicherer Umgang mit Supportkonten beschrieben, dann musst Du Dir nicht einmal Kennwörter ausdenkenDesweiteren kann ich nicht sagen welcher Rechner mit welchem Rechner Namen wo steht. Oder kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Zusätzlich hat jeder Admin noch einen Domänenadmin Account...
das ist vernünftig, falls alle Domänenadministration machen sollenum tiefere Sachen am DC...
"tiefere" Sachen?o.ä. zu administrieren
"oder Ähnliches" -?Domänenadmins nur für die Bearbeitung von Dingen, die nur ein Domänenadmin kann.
Wenn Du es ganz, ganz genau nimmst, solltest Du sogar die Domänenadmins aus der lokalen Admingruppe auf den Clients und Migliedsservern verbannen - wenn man meinen Link befolgt, sind sie dort überflüssig.
Machst du wirklich alles über RDP?
Warum nicht? Die aufpoppenden Dinge sind ja nicht nutzer-exklusiv. kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Klar. Nimm ein Anmeldeskript mitecho %computername%>>\\server\share\%username%.txtSoweit so gut. Aber wie regelst du das mit spontan installationen von Software? Machst du wirklich alles über RDP?
Was hat das jetzt mit RDP zu tun?Von einem Programm ist ein Update welches jetzt direkt eingespielt werden muss wo dann die Anmeldemaske aufpoppt.
Überarbeite doch bitte mal Deine Gedanken! Anschließend diesen Satz.Desweiteren kann ich nicht sagen welcher Rechner mit welchem Rechner Namen wo steht. Oder kann ich mir eine Liste generieren mit angemeldetem Benutzer und Rechnernamen?
Das kann man, ja. dafür findet man ne Menge im Internet. Einfach mal danach suchen ...
Ich stimme meinen Vorrednern zu. Nur für administrative Tätigkeiten wird das bzw. ein Administratorkonto (Lokal / Domäne) benutzt.
Ansonsten verwende ich ein normales Benutzerkonto.
Ansonsten verwende ich ein normales Benutzerkonto.
Ich halte mich für so überlegen das ich immer als Administrator arbeite (höhö)
(: ....
(: ....
Ich halte mich für so überlegen das ich immer als Administrator arbeite
Ich hoffe, es ist nur ein Witz. Denn dieser Satz beschreibt ein Paradoxon.Zitat von @emeriks:
Ich halte mich für so überlegen das ich immer als Administrator arbeite
Ich hoffe, es ist nur ein Witz. Denn dieser Satz beschreibt ein Paradoxon.Das sollte nur ein Witz sein.
Lg
Airine
Stimmt, du arbeitest (zumindest vom Bild her) immer als Administratorin :D
1
