3
Durchsetzen der Gruppenrichtlinien auf einem Memberserver verhindern?
Hallo, ich habe folgende Aufgabenstellung: auf einem Memberserber sollen die DomAdmins keinen Zugriff haben.
Normalerweise soll ein DomAdmin immer Zugriff auf die Server der Domäne haben, in meinem Fall soll es für den speziellen Server aber einen extra Admin geben - das ist so.
Der Memberserver muss auch in der Domäne bleiben, weil auf ihm ein Mailserver die Mailuser (sind Domänenuser) per Kerberos authentifiziert.
Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.
Nun meine Frage: kann ich mit einer lokalen Firewall (z.B. PC Tools Firewall Plus™ 5 für Windows) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE (welche Ports, oder alle Zugriffe vom DC,...)?
Wäre ganz toll, wenn sich jemand mit dem Thema auskennt und mir helfen würde
Normalerweise soll ein DomAdmin immer Zugriff auf die Server der Domäne haben, in meinem Fall soll es für den speziellen Server aber einen extra Admin geben - das ist so.
Der Memberserver muss auch in der Domäne bleiben, weil auf ihm ein Mailserver die Mailuser (sind Domänenuser) per Kerberos authentifiziert.
Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.
Nun meine Frage: kann ich mit einer lokalen Firewall (z.B. PC Tools Firewall Plus™ 5 für Windows) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE (welche Ports, oder alle Zugriffe vom DC,...)?
Wäre ganz toll, wenn sich jemand mit dem Thema auskennt und mir helfen würde
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110388
Url: https://administrator.de/forum/durchsetzen-der-gruppenrichtlinien-auf-einem-memberserver-verhindern-110388.html
Ausgedruckt am: 03.04.2025 um 05:04 Uhr
3 Kommentare
Neuester Kommentar
Moin Moin
Was Du das vorhast ist bestenfalls Problematisch und wie ich vermuten möche in dieser Form nmöglich (evtl mit einem Trust zwischen 2 Domänen).
Was ist mit den Einstellungen der Default Domain Pol., usw.?
Sprecht euch ab, legt fest wer was macht und gebt euren Benutzerkonten entsprechende Rechte.
Gruß L.
Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.Nun meine Frage: kann ich mit einer lokalen Firewall (...) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE?
Wozu? Habt Ihr irgendwie Streit oder so?Was Du das vorhast ist bestenfalls Problematisch und wie ich vermuten möche in dieser Form nmöglich (evtl mit einem Trust zwischen 2 Domänen).
Was ist mit den Einstellungen der Default Domain Pol., usw.?
Sprecht euch ab, legt fest wer was macht und gebt euren Benutzerkonten entsprechende Rechte.
Gruß L.
Hallo Logan000,
Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Mich interessiert jetzt halt, ob es eine technische Lösung gibt.
Die kann der DomAdmin doch nach belieben ändern...
Das funktioniert im Test. Aber wie kann ich verhindern, dass der DomAdmin das per GP wieder ändert?
Entweder mit einer lokalen Firewall... oder mit einen Task, der alle 5 Minuten "net localgroup administratoren xxx\domain-admins /Delete" ausführt?
Jede Lösung ist Mist, aber ich brauch von denen die Beste
VG L.
Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Mich interessiert jetzt halt, ob es eine technische Lösung gibt.
Was ist mit den Einstellungen der Default Domain Pol., usw.?
Die kann der DomAdmin doch nach belieben ändern...
Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Das funktioniert im Test. Aber wie kann ich verhindern, dass der DomAdmin das per GP wieder ändert?
Entweder mit einer lokalen Firewall... oder mit einen Task, der alle 5 Minuten "net localgroup administratoren xxx\domain-admins /Delete" ausführt?
Jede Lösung ist Mist, aber ich brauch von denen die Beste
VG L.
Moin Moin
Es sei denn es ist dir egal ob die Kiste läuft oder nicht.
Auf XP/2003 werden die GPOs duch den WINLOGON Prozess in der Registry gesetzt
Du müsstest also (so wie ich das sehe) dem System Konto den Schreibzugriff auf die Registry entziehen. Und das soltest du nicht tun
Wenn Du befürchtest Dein ""Kollege" legt deinen Server lahm.,dann ist das zwar Scheiße von Ihm, aber besser als wenn Du es selber tust!
Der Task mit "net localgroup..." wäre auch zu umgehen aber wohl weitesgehend unkritisch.
Gruß L.
Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Was ich versucht habe dir zu sagen ist das es aus meiner Sicht nur eine Organisatorische Lösung gibt (zumindest solange dein Server in der gleichen Domäne ist).Es sei denn es ist dir egal ob die Kiste läuft oder nicht.
Auf XP/2003 werden die GPOs duch den WINLOGON Prozess in der Registry gesetzt
Du müsstest also (so wie ich das sehe) dem System Konto den Schreibzugriff auf die Registry entziehen. Und das soltest du nicht tun
Wenn Du befürchtest Dein ""Kollege" legt deinen Server lahm.,dann ist das zwar Scheiße von Ihm, aber besser als wenn Du es selber tust!
Der Task mit "net localgroup..." wäre auch zu umgehen aber wohl weitesgehend unkritisch.
Gruß L.
