2
Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?
Hallo zusammen,
welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne?
Sind es die beiden o. g. überhaupt?
lg.
welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne?
Sind es die beiden o. g. überhaupt?
lg.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295528
Url: https://administrator.de/contentid/295528
Printed on: April 23, 2024 at 14:04 o'clock
2 Comments
Latest comment
Hi,
das kann man alles bei Microsoft nachlesen!
Standardmäßig werden die Domänen-Admins jener Domäne, welcher der Client beitritt, beim Beitritt in die Gruppe der lokalen Administratoren verschachtelt. Sofern diese Domäne auch die Stammdomäne einer Gesamtstruktur ist, ist DER Administrator dieser Domäne auch Mitglied der Organisations-Admins. Lokale Rechte auf den Clients erbt er aber nur über die Mitgliedschaft in den Domänen-Admins. Mitglieder der Organisations-Admins können sich aber jederzeit lokale Administrator-Rechte auf allen Clients aller Domänen der Gesamtstruktur verschaffen.
Per GPO oder manuell kann man nach dem Domänenbeitritt die Mitgliedschaft der lokalen Administratoren bearbeiten und z.B. die Domänen-Admins wieder enfernen. Diese können sich aber jederzeit in ihrer Domäne diese Rechte wiederholen.
E.
Edit: Gleiches gilt für die Domänen-Benutzer entsprechend.
das kann man alles bei Microsoft nachlesen!
Standardmäßig werden die Domänen-Admins jener Domäne, welcher der Client beitritt, beim Beitritt in die Gruppe der lokalen Administratoren verschachtelt. Sofern diese Domäne auch die Stammdomäne einer Gesamtstruktur ist, ist DER Administrator dieser Domäne auch Mitglied der Organisations-Admins. Lokale Rechte auf den Clients erbt er aber nur über die Mitgliedschaft in den Domänen-Admins. Mitglieder der Organisations-Admins können sich aber jederzeit lokale Administrator-Rechte auf allen Clients aller Domänen der Gesamtstruktur verschaffen.
Per GPO oder manuell kann man nach dem Domänenbeitritt die Mitgliedschaft der lokalen Administratoren bearbeiten und z.B. die Domänen-Admins wieder enfernen. Diese können sich aber jederzeit in ihrer Domäne diese Rechte wiederholen.
E.
Edit: Gleiches gilt für die Domänen-Benutzer entsprechend.
...und ob diese Grundeinstellungen vernünftig sind (sicherheitstechnisch), sollte man auch hinterfragen, denn man braucht ja für Clientadministration weiß Gott keine Dom.adminrechte.
