8
Einem Admin-User das Active Directory Usermanager sperren
Hallo,
Wie löst man es, wenn man User benötigt, die im Grunde alle Adminrechte haben sollen, um auf dem Server Porgramme zu installieren & Deinstallieren, aber keine Möglichkeiten haben soll User zu managen? Wir wollen vermeiden, daß er damit Änderungen vornimmt um Zugriff auf bestimmte Verzeichnisse zu erlangen.
Wir stellen uns das in etwa so vor: Die User sind Admins aber in einer Gruppe, denen der Zugriff auf bestimmte Verzeichnisse versagt ist. Damit das nicht geändert werden kann, müsste denen verboten sein in der Userverwaltung des AD zu werkeln. zB. mit einer Gruppenrichtlinie. Geht sowas?
Vielen Dank für Hilfreiches!
Wie löst man es, wenn man User benötigt, die im Grunde alle Adminrechte haben sollen, um auf dem Server Porgramme zu installieren & Deinstallieren, aber keine Möglichkeiten haben soll User zu managen? Wir wollen vermeiden, daß er damit Änderungen vornimmt um Zugriff auf bestimmte Verzeichnisse zu erlangen.
Wir stellen uns das in etwa so vor: Die User sind Admins aber in einer Gruppe, denen der Zugriff auf bestimmte Verzeichnisse versagt ist. Damit das nicht geändert werden kann, müsste denen verboten sein in der Userverwaltung des AD zu werkeln. zB. mit einer Gruppenrichtlinie. Geht sowas?
Vielen Dank für Hilfreiches!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182376
Url: https://administrator.de/contentid/182376
Printed on: April 26, 2024 at 20:04 o'clock
8 Comments
Latest comment
Moin,
ja das geht. Du nimmst die entsprechenden User aus dem Domain-Admins 'raus und gibts ihnen auf den entsprechenden Servern zu der lokalen Admin Gruppe hinzu. Auf die freigegebenen Verzeichnisse räumst Du dann auch entsprechende Rechte ein.
lg,
Slainte
ja das geht. Du nimmst die entsprechenden User aus dem Domain-Admins 'raus und gibts ihnen auf den entsprechenden Servern zu der lokalen Admin Gruppe hinzu. Auf die freigegebenen Verzeichnisse räumst Du dann auch entsprechende Rechte ein.
lg,
Slainte
Hi,
du kannst in die Lokale-Admin-Gruppe anstatt des einzelnen Users auch eine Domain-Gruppe (z.B. DOMAIN\SRV-Admin) hinzufügen. Ich find das entwas übersichtlicher.
Du kannst zwar über GPO's und AD-Rechten einem Domain-Admin versuchen den zugriff auf das AD zu verweigern, was du aber nicht zu 100% schaffen wirst, da er sich die Rechte ja als Admin wieder zurückholen kann.
PS: Wenn der Server auch Domain-Controller ist, kannst es vergessen, da es da keine Lokalen Administratoren gibt.
mfg
n4426
ja das geht. Du nimmst die entsprechenden User aus dem Domain-Admins 'raus und gibts ihnen auf den entsprechenden Servern zu
der lokalen Admin Gruppe hinzu. Auf die freigegebenen Verzeichnisse räumst Du dann auch entsprechende Rechte ein.
der lokalen Admin Gruppe hinzu. Auf die freigegebenen Verzeichnisse räumst Du dann auch entsprechende Rechte ein.
du kannst in die Lokale-Admin-Gruppe anstatt des einzelnen Users auch eine Domain-Gruppe (z.B. DOMAIN\SRV-Admin) hinzufügen. Ich find das entwas übersichtlicher.
Du kannst zwar über GPO's und AD-Rechten einem Domain-Admin versuchen den zugriff auf das AD zu verweigern, was du aber nicht zu 100% schaffen wirst, da er sich die Rechte ja als Admin wieder zurückholen kann.
PS: Wenn der Server auch Domain-Controller ist, kannst es vergessen, da es da keine Lokalen Administratoren gibt.
mfg
n4426
Hallo,
lokale Admins und irgendwelche Rechte im AD haben grundsätzlich nichts miteinander zu tun - außer man ist so faul, dass man Berechtigungen nur über die Gruppe Domain-Admins vergibt. Die Beschreibung von Slainte löst also den ersten Teil deines Problems.
Nur funktioniert das meines Wissens grundsätzlich nicht: Lokale Administratoren können sich auf einem NTFS-Laufwerk sämtliche Rechte besorgen. Wenn du ein explizites Deny für Zugriffe setzt können sie das entfernen. Das kannst du verhindern, indem du ihnen das Modify Permissions-Recht entziehst. das wiederum können sie umgehen, indem sie sich zum Owner der Daten machen. Und das kannst du nicht verhindern.
Einzige Ausnahme sind EFS-verschlüsselte Objekte, auf die können Administratoren erstmal nicht zugreifen (lässt sich aber glaube ich auch umgehen, indem man sich zum Backup-Operator macht, und einstellt, dass Alle Daten auch für Backup verschlüsselt werden).
Gruß
Filipp
lokale Admins und irgendwelche Rechte im AD haben grundsätzlich nichts miteinander zu tun - außer man ist so faul, dass man Berechtigungen nur über die Gruppe Domain-Admins vergibt. Die Beschreibung von Slainte löst also den ersten Teil deines Problems.
Nur funktioniert das meines Wissens grundsätzlich nicht: Lokale Administratoren können sich auf einem NTFS-Laufwerk sämtliche Rechte besorgen. Wenn du ein explizites Deny für Zugriffe setzt können sie das entfernen. Das kannst du verhindern, indem du ihnen das Modify Permissions-Recht entziehst. das wiederum können sie umgehen, indem sie sich zum Owner der Daten machen. Und das kannst du nicht verhindern.
Einzige Ausnahme sind EFS-verschlüsselte Objekte, auf die können Administratoren erstmal nicht zugreifen (lässt sich aber glaube ich auch umgehen, indem man sich zum Backup-Operator macht, und einstellt, dass Alle Daten auch für Backup verschlüsselt werden).
Gruß
Filipp
Moin.
Wer Admin auf einem Server ist, kann nicht eingeschränkt werden - Punkt. Er kann Virenscanner abschalten, Keylogger installieren, usw...
Wer nun glaubt, das mit GPOs, NTFS-Rechten usw. verhindern zu können, träumt. Allenfalls kann man per Überwachungsrichtlinie Aktionen monitoren. Ob Dir das ausreicht, musst Du selbst wissen - meistens reicht es.
Wenn Du von einem DC sprichst, kannst Du wie schon erwähnt leider eine lokale Admingruppe nicht nutzen.
Wer Admin auf einem Server ist, kann nicht eingeschränkt werden - Punkt. Er kann Virenscanner abschalten, Keylogger installieren, usw...
Wer nun glaubt, das mit GPOs, NTFS-Rechten usw. verhindern zu können, träumt. Allenfalls kann man per Überwachungsrichtlinie Aktionen monitoren. Ob Dir das ausreicht, musst Du selbst wissen - meistens reicht es.
Wenn Du von einem DC sprichst, kannst Du wie schon erwähnt leider eine lokale Admingruppe nicht nutzen.
ok. Danke für die vielen Antworten. Leuchtet mir alles ein.
Also es geht um einen DC, der als Terminalserver genutzt wird. Aber wie macht Ihr das dann, wenn ein Mitarbeiter auch etwas "Brot & Butter" administrieren soll? Also Zugriff auf nicht alle Daten, die so rumliegen aber beispielsweise Software installieren, Updates von Software fahren etc. ? Da kann der Kunde doch nicht der einzige sein, der sowas will?
Also es geht um einen DC, der als Terminalserver genutzt wird. Aber wie macht Ihr das dann, wenn ein Mitarbeiter auch etwas "Brot & Butter" administrieren soll? Also Zugriff auf nicht alle Daten, die so rumliegen aber beispielsweise Software installieren, Updates von Software fahren etc. ? Da kann der Kunde doch nicht der einzige sein, der sowas will?
Moin,
Wie DerWoWusst schon schrieb:
Wenn der Kunde das unbedingt will, dann muss der TS vom DC getrennt werden und auf einer separaten (ggfs. virtuellen) Maschine laufen.
Wie filippg schon schrieb: Man dann den Admin zwar den Zugriff auf Ordner verweigern, er kann ihn sich aber über die Übernahme des Besitze wieder holen (was dann allerdings an den Dateieigenschaften sicherbar ist)
Asonsten könnte mit TrueCrypt (o.Ä.) Container gearbeitt werden, was das Datei Handling allerdings etwas verkompliziert.
lg,
Slainte
Wie DerWoWusst schon schrieb:
Wer Admin auf einem Server ist, kann nicht eingeschränkt werden - Punkt.
Wenn Du von einem DC sprichst, kannst Du wie schon erwähnt leider eine lokale Admingruppe nicht nutzen.
Mit diesen beiden Fakten musst du bzw. dein Kunde leben.Wenn Du von einem DC sprichst, kannst Du wie schon erwähnt leider eine lokale Admingruppe nicht nutzen.
Wenn der Kunde das unbedingt will, dann muss der TS vom DC getrennt werden und auf einer separaten (ggfs. virtuellen) Maschine laufen.
Wie filippg schon schrieb: Man dann den Admin zwar den Zugriff auf Ordner verweigern, er kann ihn sich aber über die Übernahme des Besitze wieder holen (was dann allerdings an den Dateieigenschaften sicherbar ist)
Asonsten könnte mit TrueCrypt (o.Ä.) Container gearbeitt werden, was das Datei Handling allerdings etwas verkompliziert.
lg,
Slainte
Moin.
Auf den Vorschlag "Überwachungsrichtlinie" willst Du nicht eingehen?
Auf den Vorschlag "Überwachungsrichtlinie" willst Du nicht eingehen?
ok, Danke
Das mit den Überwachungsrichtlinien ist ja ne reine Überwachung, so wie ich das lese. Aber am Ende gibt es wohl keine andere Lösung. Der Tip von SlainteMhath ist bei dem Kunden nicht machbar.
Das mit den Überwachungsrichtlinien ist ja ne reine Überwachung, so wie ich das lese. Aber am Ende gibt es wohl keine andere Lösung. Der Tip von SlainteMhath ist bei dem Kunden nicht machbar.