jann0r
Goto Top

Logische Trennung zwischen 2 Firmen - Berechtigungen

Moin,

ich stehe aktuell vor folgender Fragestellung bzw. Problem.

Aktuell gibt es bei uns in der Unternehmensgruppe eine Domain (firma.local) für alle. Das war bisher auch überhaupt kein Problem, da wir wir Berechtigungsmäßig alles darüber abbilden konnten.

Nun gibt es aber innerhalb der Unternehmensgruppe eine Frima, die sich u.a. mit Ladesäulen/ Ladetechnik / LoRaWan usw. beschäftigt. Die Kollegen dort brauchen leider mehr administrative Berechtigungen auf ihren Rechnern. Ich könnte das Thema mit lokalen Admin Rechten natürlich relativ einfach umgehen, das möchte ich aber eigentlich nicht.

Jetzt kam der Gedanke das ganze über eine (Sub) Domain zu realisieren, sodass die Techniker in ihrer Umgebung schalten und walten können wie sie wollen, ohne dabei auf die Hauptdomain zuzugreifen.
Wobei sich die Frage stellt, was am Ende sinnvoller ist: Eine Sub Domain oder ne gänzlich neue Domain für die Firma aufzubauen.

Vielleicht hat ja jemand ein paar Tipps oder Anregungen, wie man das am cleversten Umsetzen könnte.

Content-ID: 6020231333

Url: https://administrator.de/contentid/6020231333

Ausgedruckt am: 25.11.2024 um 01:11 Uhr

DerMaddin
DerMaddin 17.02.2023 um 14:06:07 Uhr
Goto Top
Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.
jann0r
jann0r 17.02.2023 um 14:08:42 Uhr
Goto Top
Zitat von @DerMaddin:

Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.

Ja vom Prinzip her schon, die Techniker dort wissen eigentlich was sie am PC machen aber ich würde es halt schon irgendwie schöner finden, wenn das ganze irgendwie vom Rest des Unternehmens ein Stück weit getrennt ist.
DerMaddin
DerMaddin 17.02.2023 um 14:29:57 Uhr
Goto Top
Was meinst du mit getrennt? Eine weitere Domäne, egal ob separat oder mit Vertrauensstellung macht das nur wesentlich komplexer. Einfach eine neue OU für die Firma, die AD-Konten verschieben und GPOs darauf anwenden.

Man kann das so elegant umsetzen, dass jeder Mitglied der lokalen Admin-Gruppe ist auf seinem eigenen Computer. Kein Zugriff auf andere Computer oder Dienste in der Domäne möglich mit dem lokalen Recht.
radiogugu
radiogugu 17.02.2023 aktualisiert um 14:30:40 Uhr
Goto Top
Zitat von @jann0r:

Zitat von @DerMaddin:

Um was genau geht es? Admin-Rolle auf den eigenen Computer? Kann man via Security-Gruppe und GPO umsetzen.

Ja vom Prinzip her schon, die Techniker dort wissen eigentlich was sie am PC machen aber ich würde es halt schon irgendwie schöner finden, wenn das ganze irgendwie vom Rest des Unternehmens ein Stück weit getrennt ist.

Mahlzeit.

Die haben dann ja erst einmal nur Admin-Rechte auf den PC, auf denen die GPO dann greift. Daher würde ich das ebenfalls schon als gute Lösung ansehen.

Eine weitere Domäne oder eine Subdomäne birgt das Risiko in der Konfiguration etwas zu versaubeuteln (Stichwort: Domain Trust).

Zur Not könnte man die PC der Techniker in ein separates VLAN packen und entsprechend so noch einmal Geräte, auf welchen User Admin-Rechte haben, vom Rest trennen.

Gruß
Marc
em-pie
em-pie 17.02.2023 um 19:09:42 Uhr
Goto Top
Moin,

+1 für VLANs (ggf. Mit Client Isolation) und GPOs, die die User nur auf bestimmten Rechnern lokale AdminRechte gewähren.
2423392070
2423392070 17.02.2023 um 19:31:23 Uhr
Goto Top
Subdomain hat viele tolle Vorteile. Aber kann auch viel Bockmist ermöglichen.

Wir haben die Struktur emea.company.tld.
Für die großen Umgebungen(Sites) haben wir teilweise eine weitere Sub-Ebene und in BS und WB gibt es auch noch eine Ebene dev.

Unsere Werke in China sind in Vertrauensstellung mit strikten Restriktionen. Dort gibt es aber auch lokale Admins.