6
Logische Trennung zwischen 2 Firmen - Berechtigungen
Moin,
ich stehe aktuell vor folgender Fragestellung bzw. Problem.
Aktuell gibt es bei uns in der Unternehmensgruppe eine Domain (firma.local) für alle. Das war bisher auch überhaupt kein Problem, da wir wir Berechtigungsmäßig alles darüber abbilden konnten.
Nun gibt es aber innerhalb der Unternehmensgruppe eine Frima, die sich u.a. mit Ladesäulen/ Ladetechnik / LoRaWan usw. beschäftigt. Die Kollegen dort brauchen leider mehr administrative Berechtigungen auf ihren Rechnern. Ich könnte das Thema mit lokalen Admin Rechten natürlich relativ einfach umgehen, das möchte ich aber eigentlich nicht.
Jetzt kam der Gedanke das ganze über eine (Sub) Domain zu realisieren, sodass die Techniker in ihrer Umgebung schalten und walten können wie sie wollen, ohne dabei auf die Hauptdomain zuzugreifen.
Wobei sich die Frage stellt, was am Ende sinnvoller ist: Eine Sub Domain oder ne gänzlich neue Domain für die Firma aufzubauen.
Vielleicht hat ja jemand ein paar Tipps oder Anregungen, wie man das am cleversten Umsetzen könnte.
ich stehe aktuell vor folgender Fragestellung bzw. Problem.
Aktuell gibt es bei uns in der Unternehmensgruppe eine Domain (firma.local) für alle. Das war bisher auch überhaupt kein Problem, da wir wir Berechtigungsmäßig alles darüber abbilden konnten.
Nun gibt es aber innerhalb der Unternehmensgruppe eine Frima, die sich u.a. mit Ladesäulen/ Ladetechnik / LoRaWan usw. beschäftigt. Die Kollegen dort brauchen leider mehr administrative Berechtigungen auf ihren Rechnern. Ich könnte das Thema mit lokalen Admin Rechten natürlich relativ einfach umgehen, das möchte ich aber eigentlich nicht.
Jetzt kam der Gedanke das ganze über eine (Sub) Domain zu realisieren, sodass die Techniker in ihrer Umgebung schalten und walten können wie sie wollen, ohne dabei auf die Hauptdomain zuzugreifen.
Wobei sich die Frage stellt, was am Ende sinnvoller ist: Eine Sub Domain oder ne gänzlich neue Domain für die Firma aufzubauen.
Vielleicht hat ja jemand ein paar Tipps oder Anregungen, wie man das am cleversten Umsetzen könnte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6020231333
Url: https://administrator.de/contentid/6020231333
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.
Zitat von @DerMaddin:
Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.
Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.
Ja vom Prinzip her schon, die Techniker dort wissen eigentlich was sie am PC machen aber ich würde es halt schon irgendwie schöner finden, wenn das ganze irgendwie vom Rest des Unternehmens ein Stück weit getrennt ist.
Was meinst du mit getrennt? Eine weitere Domäne, egal ob separat oder mit Vertrauensstellung macht das nur wesentlich komplexer. Einfach eine neue OU für die Firma, die AD-Konten verschieben und GPOs darauf anwenden.
Man kann das so elegant umsetzen, dass jeder Mitglied der lokalen Admin-Gruppe ist auf seinem eigenen Computer. Kein Zugriff auf andere Computer oder Dienste in der Domäne möglich mit dem lokalen Recht.
Man kann das so elegant umsetzen, dass jeder Mitglied der lokalen Admin-Gruppe ist auf seinem eigenen Computer. Kein Zugriff auf andere Computer oder Dienste in der Domäne möglich mit dem lokalen Recht.
Zitat von @jann0r:
Ja vom Prinzip her schon, die Techniker dort wissen eigentlich was sie am PC machen aber ich würde es halt schon irgendwie schöner finden, wenn das ganze irgendwie vom Rest des Unternehmens ein Stück weit getrennt ist.
Zitat von @DerMaddin:
Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.
Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.
Ja vom Prinzip her schon, die Techniker dort wissen eigentlich was sie am PC machen aber ich würde es halt schon irgendwie schöner finden, wenn das ganze irgendwie vom Rest des Unternehmens ein Stück weit getrennt ist.
Mahlzeit.
Die haben dann ja erst einmal nur Admin-Rechte auf den PC, auf denen die GPO dann greift. Daher würde ich das ebenfalls schon als gute Lösung ansehen.
Eine weitere Domäne oder eine Subdomäne birgt das Risiko in der Konfiguration etwas zu versaubeuteln (Stichwort: Domain Trust).
Zur Not könnte man die PC der Techniker in ein separates VLAN packen und entsprechend so noch einmal Geräte, auf welchen User Admin-Rechte haben, vom Rest trennen.
Gruß
Marc
Moin,
+1 für VLANs (ggf. Mit Client Isolation) und GPOs, die die User nur auf bestimmten Rechnern lokale AdminRechte gewähren.
+1 für VLANs (ggf. Mit Client Isolation) und GPOs, die die User nur auf bestimmten Rechnern lokale AdminRechte gewähren.
Subdomain hat viele tolle Vorteile. Aber kann auch viel Bockmist ermöglichen.
Wir haben die Struktur emea.company.tld.
Für die großen Umgebungen(Sites) haben wir teilweise eine weitere Sub-Ebene und in BS und WB gibt es auch noch eine Ebene dev.
Unsere Werke in China sind in Vertrauensstellung mit strikten Restriktionen. Dort gibt es aber auch lokale Admins.
Wir haben die Struktur emea.company.tld.
Für die großen Umgebungen(Sites) haben wir teilweise eine weitere Sub-Ebene und in BS und WB gibt es auch noch eine Ebene dev.
Unsere Werke in China sind in Vertrauensstellung mit strikten Restriktionen. Dort gibt es aber auch lokale Admins.
