2
Ist es möglich in der AD Benutzerkonfiguration Beschränkungen zu setzen in welchen Gruppen ein Konto Mitglied sein kann
Hallo zusammen
Ich habe ein Anfrage von einem Kunden erhalten. Dort gibt es hausintern einen Hilfsadministrator, der in bestimmten Bereichen des AD Benutzerkonten pflegen darf. Der jetzige Hilfsadmin wird ab Sommer nicht mehr dort tätig sein und nun wird ein Nachfolger gesucht. Der Kandidat ist der Vorsitzende des Betriebsrates. "Man kann ja die Verzeichnisrechte entsprechend setzen, dass er an die Daten, die ihn nichts angehen nicht rankommt"
Meine Argumentation dazu ist nun, dass er sich ja ein Benutzerkonto einrichten kann, dort die Gruppe(z.B.) Vorstand reintut, sich am Rechner mit diesem Konto anmeldet und dann eben genau die Daten liest, die ihn nichts angehen.
Deshalb nun noch mal sicherheitshalber die Frage: Wenn ich den Zugrifff auf eine OU delegiere, damit der Mitarbeiter dort Konten anlegen kann etc. - kann ich es verhindern, dass er auch Zugriff auf diese sensiblen Sicherheitsgruppen bekommt ?
Ich halte das ja schon grundsätzlich für eine reichlich komische Idee, dem Betriebsrat administrative Aufgaben auf den Servern zu übertragen...
Gruß
Hubert
Ich habe ein Anfrage von einem Kunden erhalten. Dort gibt es hausintern einen Hilfsadministrator, der in bestimmten Bereichen des AD Benutzerkonten pflegen darf. Der jetzige Hilfsadmin wird ab Sommer nicht mehr dort tätig sein und nun wird ein Nachfolger gesucht. Der Kandidat ist der Vorsitzende des Betriebsrates. "Man kann ja die Verzeichnisrechte entsprechend setzen, dass er an die Daten, die ihn nichts angehen nicht rankommt"
Meine Argumentation dazu ist nun, dass er sich ja ein Benutzerkonto einrichten kann, dort die Gruppe(z.B.) Vorstand reintut, sich am Rechner mit diesem Konto anmeldet und dann eben genau die Daten liest, die ihn nichts angehen.
Deshalb nun noch mal sicherheitshalber die Frage: Wenn ich den Zugrifff auf eine OU delegiere, damit der Mitarbeiter dort Konten anlegen kann etc. - kann ich es verhindern, dass er auch Zugriff auf diese sensiblen Sicherheitsgruppen bekommt ?
Ich halte das ja schon grundsätzlich für eine reichlich komische Idee, dem Betriebsrat administrative Aufgaben auf den Servern zu übertragen...
Gruß
Hubert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166533
Url: https://administrator.de/contentid/166533
Printed on: April 18, 2024 at 02:04 o'clock
2 Comments
Latest comment
Ohne es getestet zu haben würde ich dem Benutzer das Schreibrecht auf die Gruppe wegnehmen (Erweiterte Features einblenden), dann sollte er auch keine Benutzer dort mehr hinzufügen können.
Hi,
ich würd einfeach zwei OUs anlegen, eine mit Gruppen die er berbeiten darf und eine eben mit denen, wo er's nciht darf. Und dannauf die OU mit den Bearbeitbaren gruppen die Rechte so vergeben.
PS: Er darf natürlich nicht in der Domain-Admin-Gruppe oder Kontonenoberratoren-Gruppe drin sein.
mfg
n4426
ich würd einfeach zwei OUs anlegen, eine mit Gruppen die er berbeiten darf und eine eben mit denen, wo er's nciht darf. Und dannauf die OU mit den Bearbeitbaren gruppen die Rechte so vergeben.
PS: Er darf natürlich nicht in der Domain-Admin-Gruppe oder Kontonenoberratoren-Gruppe drin sein.
mfg
n4426
