4
Eingeschränkte Administratorrechte
hy Leute,
ich habe einen Windows 2003 Server mit Active Directory in einer Außenstelle. Ich bin dort Administrator.
Die außenstelle möchte aber mehrere Benutzer anlegen und diese auch verwalten können.
Da ich nicht jedes mal rüberrennen will um einen Benutzer anzulegen, möchte ich einen Administrator mit sehr eingeschränkten Rechten vergeben, der eig. nicht mehr darf als Benutzer anlegen, löschen, Passwörter zurückzusetzen.
Also die ganz simple Benutzerverwaltung.
Rr soll keinen Zugriff auf irgendwelche Ordner am Server haben oder sich mit $ Freigabe auf andere Rechner verbinden usw., wirklich nur die Benutzerverwaltung.
Ich habe mir zwar die erweiterten Berechtigungen angeschaut die man vergeben kann, aber das sind ja endlos lange Listen und da genau das richtige auszuwählen ohne was zu vergessen ist sicher nicht ganz leicht.
gibt es vl. irgendein Tool oder verdefinierte Gruppen die man runterladen kann die genau das dürfen oder könnt ihr mir sonst irgendwie weiterhelfen ???
Grüße
Sascha
ich habe einen Windows 2003 Server mit Active Directory in einer Außenstelle. Ich bin dort Administrator.
Die außenstelle möchte aber mehrere Benutzer anlegen und diese auch verwalten können.
Da ich nicht jedes mal rüberrennen will um einen Benutzer anzulegen, möchte ich einen Administrator mit sehr eingeschränkten Rechten vergeben, der eig. nicht mehr darf als Benutzer anlegen, löschen, Passwörter zurückzusetzen.
Also die ganz simple Benutzerverwaltung.
Rr soll keinen Zugriff auf irgendwelche Ordner am Server haben oder sich mit $ Freigabe auf andere Rechner verbinden usw., wirklich nur die Benutzerverwaltung.
Ich habe mir zwar die erweiterten Berechtigungen angeschaut die man vergeben kann, aber das sind ja endlos lange Listen und da genau das richtige auszuwählen ohne was zu vergessen ist sicher nicht ganz leicht.
gibt es vl. irgendein Tool oder verdefinierte Gruppen die man runterladen kann die genau das dürfen oder könnt ihr mir sonst irgendwie weiterhelfen ???
Grüße
Sascha
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61707
Url: https://administrator.de/forum/eingeschraenkte-administratorrechte-61707.html
Ausgedruckt am: 09.01.2025 um 22:01 Uhr
4 Kommentare
Neuester Kommentar
Hallo iceman,
Mit dem AD und den Berechtigungen kann ich dir nicht weiterhelfen aber meine Meinung dazu kann ich dir geben:
Also bitte nicht böse sein aber beim besten willen nein...
Stell dir einfach mal vor, die ändern das Adminkennwort (dann haben sie einen User und ein Passwort mit dem sie alles machen können!!!).
Egal was die Kollegen auf der aussenstelle Sagen: Das größte Sicherheitsrisiko im Netz ist immer und wird auch immer der Mensch sein (einfach mal so als anregung zum nachlesen http://de.wikipedia.org/wiki/Social_Engineering).
Des weiteren hast du das Problem, wenn die Kollegen in der Aussenstelle zu viele User erstellen dann musst du ständig neue Lizensen kaufen.
Da du selber sagst, dass dich das "rüberrennen" aufregt könntest du das ganze ja per RemoteDesktop vom SBS. Dann bist du direkt auf dem Server und kannst die User anlegen und löschen usw. läufst aber nicht Gefahr das irgendjemand was falsch macht, ausser dir.
Wir hatten in meiner Firma am Anfang die Konstellation, dass ein Kollege der keine Ahnung hatte wie man Systeme mit system bedient, die Berechtigungen vergeben hat. Das Ergebniss war eine AS400, auf der jeder User Berechtigungen für einzelne Dateien bekommen hat (also keine einzige Gruppe). Als ich dann die Berechtigungsstruktur änderte hatte ich spass mit über 60000 Dateien....
Andere Frage:
Müsst ihr eigentlich in eurer Firma dokumentieren was ihr macht?
mfg
d.t.soko
Mit dem AD und den Berechtigungen kann ich dir nicht weiterhelfen aber meine Meinung dazu kann ich dir geben:
Also bitte nicht böse sein aber beim besten willen nein...
Stell dir einfach mal vor, die ändern das Adminkennwort (dann haben sie einen User und ein Passwort mit dem sie alles machen können!!!).
Egal was die Kollegen auf der aussenstelle Sagen: Das größte Sicherheitsrisiko im Netz ist immer und wird auch immer der Mensch sein (einfach mal so als anregung zum nachlesen http://de.wikipedia.org/wiki/Social_Engineering).
Des weiteren hast du das Problem, wenn die Kollegen in der Aussenstelle zu viele User erstellen dann musst du ständig neue Lizensen kaufen.
Da du selber sagst, dass dich das "rüberrennen" aufregt könntest du das ganze ja per RemoteDesktop vom SBS. Dann bist du direkt auf dem Server und kannst die User anlegen und löschen usw. läufst aber nicht Gefahr das irgendjemand was falsch macht, ausser dir.
Wir hatten in meiner Firma am Anfang die Konstellation, dass ein Kollege der keine Ahnung hatte wie man Systeme mit system bedient, die Berechtigungen vergeben hat. Das Ergebniss war eine AS400, auf der jeder User Berechtigungen für einzelne Dateien bekommen hat (also keine einzige Gruppe). Als ich dann die Berechtigungsstruktur änderte hatte ich spass mit über 60000 Dateien....
Andere Frage:
Müsst ihr eigentlich in eurer Firma dokumentieren was ihr macht?
mfg
d.t.soko
hi, also das mit den lizenzen kann ich zurückwerfen weil dort steht ein server und 4 user pcs, es soll so eine art "internetcafe" werden bei dem aber immer die selben leute kommen, also bekommen die alle einen eigenen user.
und das mit dem administrator hab ich ja so gemeint dass er eben nur die selbst erstellten benutzer editieren kann und nicht den administrator rechte wegen, pw zurücksetzen oder sich selbst mehr rechten geben kann.
das mit remotedesktop zu administrieren ist mir auch in den sinn gekommen, allerdings verbietet unsere security policy das, hab darüber auch schon mit meinem chef gesprochen aber da ist nix zu machen
ich weiß das is etwas kompliziert aber ich hoffe trotzdem dass es dafür eine lösung gibt.
und das mit dem administrator hab ich ja so gemeint dass er eben nur die selbst erstellten benutzer editieren kann und nicht den administrator rechte wegen, pw zurücksetzen oder sich selbst mehr rechten geben kann.
das mit remotedesktop zu administrieren ist mir auch in den sinn gekommen, allerdings verbietet unsere security policy das, hab darüber auch schon mit meinem chef gesprochen aber da ist nix zu machen
ich weiß das is etwas kompliziert aber ich hoffe trotzdem dass es dafür eine lösung gibt.
Hallo nochmal,
ja das is ja ein sch***...
Ok helfen könnte ich mit einem Batch für die Userverwaltung dazu ein Program namens SteelRunas. Dann führt der User eine Exe als z.b. Admin aus ohne was davon zu wissen. Die Exe führt dann den Befehl "net user" aus. Damit er nur seine User ändern kann müsste man die entsprechenden User in das Menü reinmachen.
Vorab die Frage hättest du dann die Möglichkeit die Batch-Datei von deinem Rechner aus zu verändern? Wenn ja würde ich es so machen (weil mit AD verbringt man mehr Zeit wie mit Batchscripten
).
mfg
d.t.soko
ja das is ja ein sch***...
Ok helfen könnte ich mit einem Batch für die Userverwaltung dazu ein Program namens SteelRunas. Dann führt der User eine Exe als z.b. Admin aus ohne was davon zu wissen. Die Exe führt dann den Befehl "net user" aus. Damit er nur seine User ändern kann müsste man die entsprechenden User in das Menü reinmachen.
Vorab die Frage hättest du dann die Möglichkeit die Batch-Datei von deinem Rechner aus zu verändern? Wenn ja würde ich es so machen (weil mit AD verbringt man mehr Zeit wie mit Batchscripten
).mfg
d.t.soko
das is wohl ein bisschen zu kompliziert, weil das wieder aufwand von meiner seite her bedeutet und das dem jenigen erklärt werden muss.
nur nochmal zur erklärung, diese außenstelle, hat im prinzip nicht wirklich was mit unseren netzwerk zu tun und wir sind auch nicht verbunden, die haben eine eigene internetleitung.
im prinzip is mir fast egal was die da drüber machen, nur sind das unsere geräte die dort stehen und wenn mal was nicht funktioniert muss ich rüber.
deshalb hab ich dort einen server aufgesetzt mit 4 clients.
sie dürfen nicht in pornografische, rechtsradikale seiten usw. und dass dort nicht zu viel unsinn passiert bleibe ich auch admin.
nur brauch ich hald wen der dann die user verwaltet und mehr auch nicht, weil der rest passiert eh automatisch.
ich möchte jetzt ehrlich gesagt nicht irgendwas mit batch programmen experimentieren, sondern das mit den AD benutzerrechten hinbekommen, weil ich weiß dass es irgendwie geht.
aber danke für deine hilfe, vl weiß ja sonst jemand ob man es da irgendwelche vordefinierten gruppen gibt die man sich runterladen kann oder so irgendwas .....
nur nochmal zur erklärung, diese außenstelle, hat im prinzip nicht wirklich was mit unseren netzwerk zu tun und wir sind auch nicht verbunden, die haben eine eigene internetleitung.
im prinzip is mir fast egal was die da drüber machen, nur sind das unsere geräte die dort stehen und wenn mal was nicht funktioniert muss ich rüber.
deshalb hab ich dort einen server aufgesetzt mit 4 clients.
sie dürfen nicht in pornografische, rechtsradikale seiten usw. und dass dort nicht zu viel unsinn passiert bleibe ich auch admin.
nur brauch ich hald wen der dann die user verwaltet und mehr auch nicht, weil der rest passiert eh automatisch.
ich möchte jetzt ehrlich gesagt nicht irgendwas mit batch programmen experimentieren, sondern das mit den AD benutzerrechten hinbekommen, weil ich weiß dass es irgendwie geht.
aber danke für deine hilfe, vl weiß ja sonst jemand ob man es da irgendwelche vordefinierten gruppen gibt die man sich runterladen kann oder so irgendwas .....
