4
Domänen-Benutzer können AD Benutzer und Computer öffnen
Hallo,
bei meiner Domäne können Benutzer, die nur Mitglieder in der Gruppe "Domänen-Benutzer" sind, das "Active Directory Benutzer und Computer" öffnen und dort auch alle Computer, Benutzer und Gruppen anzeigen, verändern können sie nichts.
Wie kann ich das unterbinden? Ich habe leider keine Möglichkeit finden können, Berechtigungen für Gruppen im Bezug auf den AD Zugriff zu verändern.
Vielen Dank im Voraus.
bei meiner Domäne können Benutzer, die nur Mitglieder in der Gruppe "Domänen-Benutzer" sind, das "Active Directory Benutzer und Computer" öffnen und dort auch alle Computer, Benutzer und Gruppen anzeigen, verändern können sie nichts.
Wie kann ich das unterbinden? Ich habe leider keine Möglichkeit finden können, Berechtigungen für Gruppen im Bezug auf den AD Zugriff zu verändern.
Vielen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 301575
Url: https://administrator.de/contentid/301575
Ausgedruckt am: 24.11.2024 um 09:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
das kann man, artet aber in nicht zu unterschätzenden Änderungen an den Berechtigungen des AD aus und ist nicht empfehlenswert ohne sich damit eingehend beschäftigt zu haben und was für Folgen das haben kann.
Deswegen Finger weg von den AD ACLs und mach das über SRP oder Applocker Policies die das Ausführen des MMC Snapins für normalo User nicht erlauben.
Gruß jodel32
das kann man, artet aber in nicht zu unterschätzenden Änderungen an den Berechtigungen des AD aus und ist nicht empfehlenswert ohne sich damit eingehend beschäftigt zu haben und was für Folgen das haben kann.
Deswegen Finger weg von den AD ACLs und mach das über SRP oder Applocker Policies die das Ausführen des MMC Snapins für normalo User nicht erlauben.
Gruß jodel32
Danke für die Antwort, mich würde aber dennoch interessieren wie das geht. Ich habe hier nur eine Test-Domäne um Erfahrungen in dem Bereich zu sammeln, kann also nichts kaputt machen 
Bitte, dann mach dich auf diverses zurückspielen von Snapshots gefasst
In ADUC die erweiterte Ansicht aktivieren dann hast du für jeden Container den Security-Reiter.
Wir hatten hier schon mal so einen Beitrag, ich suche den gleich mal für dich raus.
In ADUC die erweiterte Ansicht aktivieren dann hast du für jeden Container den Security-Reiter.
Wir hatten hier schon mal so einen Beitrag, ich suche den gleich mal für dich raus.
Liest du hier:
User Lese-Rechte im AD-SnapIn sperren (RSAT-Tools)
und hier
http://m.windowsitpro.com/active-directory/hiding-active-directory-obje ...
Trotzdem sei vorgewarnt, auch wenn es in deiner Testumgebung scheinbar funktioniert, den Zugriff entzogen hat man schnell, aber die dadurch ausgelösten Fehler sieht man meist erst im Produktivbetrieb, wenn nämlich hier und da dann Befehle in PS und Co. fehlschlagen, die man im Test der Umgebung nicht alle gemacht und bedacht hat.
Ich spreche da aus Erfahrung
User Lese-Rechte im AD-SnapIn sperren (RSAT-Tools)
und hier
http://m.windowsitpro.com/active-directory/hiding-active-directory-obje ...
Trotzdem sei vorgewarnt, auch wenn es in deiner Testumgebung scheinbar funktioniert, den Zugriff entzogen hat man schnell, aber die dadurch ausgelösten Fehler sieht man meist erst im Produktivbetrieb, wenn nämlich hier und da dann Befehle in PS und Co. fehlschlagen, die man im Test der Umgebung nicht alle gemacht und bedacht hat.
Ich spreche da aus Erfahrung
