opsec2022
Goto Top

Domänen Fernverwaltung RSAT - Berechtigungen der lokalen User

Hallo,

auf einem Rechner, welcher für die Fernverwaltung einer Domäne vorgesehen ist habe ich in einer Testumgebung einige Tests gemacht und bin aus den Ergebnissen nicht schlau geworden.

Joine ich der Domain mit dem Rechner, lasse die lokalen Profile wie gehabt und melde mich als Domainadmin an, kann ich die Domäne wie gewohnt über die RSAT Tools verwalten. Melde ich mich nun als lokaler Benutzer an kriege ich zwar den Hinweis, dass ein berechtigter Domänenbenutzer von Nöten ist, jedoch habe ich über die RSAT Tools nach Domäne Ändern -> dom.tld - Ohne Auth - trotzdem Zugriff auf Benutzer & Computer.

Wieso wird hier nicht nach Creds gefragt? Wie dämme ich das am Besten ein?

Danke

OpSeC

Content-ID: 2109825670

Url: https://administrator.de/contentid/2109825670

Ausgedruckt am: 25.11.2024 um 01:11 Uhr

Hubert.N
Lösung Hubert.N 10.03.2022 um 12:14:54 Uhr
Goto Top
Moin

Was bedeutet "Zugriff auf Benutzer & Computer" ??? Dass man die Informationen lesen kann, ist ja erst einmal normal. Sonst würde das System kaum funktionieren.
Frage ist, ob Du mit einem normalen Benutzer Änderungen vornehmen kannst...

Gruß
opsec2022
opsec2022 10.03.2022 um 13:11:14 Uhr
Goto Top
Zitat von @Hubert.N:

Moin

Hallo,

und danke für die Antwort.

Was bedeutet "Zugriff auf Benutzer & Computer" ??? Dass man die Informationen lesen kann, ist ja erst einmal normal. Sonst würde das System kaum funktionieren.
Frage ist, ob Du mit einem normalen Benutzer Änderungen vornehmen kannst...

Änderungen können keine vorgenommen werden.
Gerne würde ich den Zugriff auf die RSAT Tools trotzdem auf die Domain-Admins beschränken.

Lässt sich das innerhalb einer GPO umsetzen?

Gruß

OpSec
Doskias
Lösung Doskias 10.03.2022 um 13:53:30 Uhr
Goto Top
Moin

Zitat von @opsec2022:
Änderungen können keine vorgenommen werden.
Wo ist das Problem? Die Infos die du dir anzeigen lassen kannst, kannst du auch ohne RSAT jederzeit abfragen.

Gerne würde ich den Zugriff auf die RSAT Tools trotzdem auf die Domain-Admins beschränken.
DU kannst die Anmeldung auf den Rechner auf User beschränken, die das Domänenkennwort kennen. Dann kann sich dort keiner anmelden, der da nichts zu suchen hat.

Lässt sich das innerhalb einer GPO umsetzen?
Alternativ kannst du auch die RSAT Tools via GPO für User sperren, die es nicht öffnen sollen.

Gruß
Doskias