chrissy
Goto Top

Mehrere Administratoren in Windows Domäne

Hallo an alle da draußen!

Ich bin auf der Suche nach Klartext Informationen über die Handhabung von mehreren MS-Windows Administratoren in einer Domäne.

Folgende Erläuterung:
eine Firma mit einem "hausinternen Administrator" / Angestellter,
einem langjährigen externen Administrator,
und einer Firma die Programmierarbeiten tätigt und ebenfalls das Administrator-Passwort erhalten hat.

Der Chef des Hauses möchte dies nun trennen, indem der Angestellte zum eigentlichen Administrator dieser Domäne wird.
Der langjährige externene Administrator sowie die Programmier-Firma sollen vollen Zugriff auf mehrere Server und alle Arbeitsstationen haben.
Sie sollen aber nicht an alle Daten und Server herankommen können (z.B. Buchhaltung/Personalwesen).

Ich weis, dass es eine Möglichkeit der Trennung gibt, wenn wir Unterdomänen bilden würden ( wir stoßen hier aber auf Abneigung).
Ein Nicht-Windows System finden wir hier nicht.

Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte zurückholen können!


Vielen Dank für Eure Fragen/Anregungen und Informationen
Chrissy

Content-ID: 236118

Url: https://administrator.de/forum/mehrere-administratoren-in-windows-domaene-236118.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Xaero1982
Xaero1982 22.04.2014 um 11:38:36 Uhr
Goto Top
Moin,

gibt mWn nur eine Antwort:

Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.

Vielleicht würde das gehen:
Server für Buchhaltung und Personalwesen.
Dort dem externen und der Firma die Anmeldemöglichkeit nehmen, was nicht ganz einfach ist und ich mir nicht sicher bin, ob man einem Admin das Recht überhaupt nehmen kann.
Dann müssen alle Freigaben so angepasst werden, dass ein Domänenadmin dort kein Zugriff hat etc.

Gruß
Lochkartenstanzer
Lochkartenstanzer 22.04.2014 um 11:45:00 Uhr
Goto Top
Zitat von @Chrissy:

Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte
zurückholen können!

Moin,

Du willst Dich waschen ohen Dich naß zu machen? Geht, indem man z.B. Sandstrahler nimmt, aber da ist auch nicht die Lösung. Aber nun zu Deinem konkreten Problem:

Du kannst für jeden ein eigens konto machen. Du nimmst entweder ein Admin-konto und entziehst dem bestimmte rechte oder Du nimmst ein user-konto und gibst dem zusätzliche rechte.

das einfachste ist, durch ACLs den zusätzlichen Admins bestimmte Zugriffe zu sperren. Allerdings hält das diese nciht davon ab, sich die Rechte wiederzuholen, was man aber durch enstprechenden Meldungen protokollieren kann udn wenn man das richtig macht, kann man sogar die gelbe Blinkleuchte mit Sirene dabei leuchten lassen.

Wichtiger ist imho, vertraglich festzulegen, was gemacht werden darf udn was nciht udn ggf. Konventionalstrafen dafür festzulegen.

lks
jsysde
jsysde 22.04.2014 um 11:45:00 Uhr
Goto Top
Moin.
Zitat von @Xaero1982:
[...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und walten" und in der Domain keinen Unfug anrichten.

@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos "DOMAIN\Administrator" ändern.

Cheers,
jsysde
Xaero1982
Xaero1982 22.04.2014 um 11:48:02 Uhr
Goto Top
Zitat von @jsysde:

Moin.
> Zitat von @Xaero1982:
> [...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
> Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und
walten" und in der Domain keinen Unfug anrichten.

@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer
aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal
auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos
"DOMAIN\Administrator" ändern.

Cheers,
jsysde

Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese Gruppen zu stecken? face-smile

Wie lks auch sagte kannst du das evtl. protokollieren, aber das wars dann auch schon.

Verschwiegenheitserklärung unterschreiben lassen und den Zugriff dort vertraglich untersagen.

Gruß
colinardo
colinardo 22.04.2014 aktualisiert um 11:51:24 Uhr
Goto Top
Hi,
lässt sich alles regeln: Delegieren von Befugnissen in Active Directory

Grüße Uwe
jsysde
jsysde 22.04.2014 um 11:51:56 Uhr
Goto Top
Moin.
Zitat von @Xaero1982:
[...]Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese
Gruppen zu stecken? face-smile
Ich meine nicht, ich weiß. face-wink
Wenn ich lokale Admin-Rechte auf einem Domain-Rechner habe, kann ich mich _NICHT!_ zum Mitglied von irgendeiner AD-Gruppe machen, auch und schon gar nicht zum Mitglied von "Domain Admins".

Cheers,
jsysde
heilgecht
heilgecht 22.04.2014 um 11:55:26 Uhr
Goto Top
Hallo,

man sollte niemals die Zugangsdaten für User "Administrator" deindomain.de an dritte weitergeben.
Am besten erstellt man eine OU Gruppe und fügt einzelne User hin zu. Diese Gruppe wird dann per Group Policy auf Domain Rechner und Server verteilt. Die Mitglieder dieser Gruppe bekommen lokale Admin Rechte auf allen Rechnern und man kann Rechte für administrative Aufgaben separat einstellen. Z.Bsp. in dem man diese Gruppe zur Gruppe "DHCP Administrators" hinzufügt.
Mit dem administrator@deindomain.de User sollte man nur wenige administrative Aufgaben erledigen und niemals für tägliche Arbeit verwenden.
DerWoWusste
DerWoWusste 22.04.2014 um 20:37:48 Uhr
Goto Top
Hi.

Weitere Gesichtspunkte: Da Windows vor Version 8.1/2012 R2 ein grausiges Sicherheitsleck hat (Kerberos-Designschwäche, siehe Sicherheitsprobleme von Kerberos - unbedingt lesen), ist das gemeinsame Administrieren von Servern eine riskante Sache.
Klartext: wenn ich Admin auf Deinem Server bin, kann ich jederzeit das Klartextpasswort aller seit dem letzten Neustart angemeldeter Nutzer auslesen, natürlich auch die der anderen Admins. Willst Du das? Ich schätze nicht.

Wenn Ihr also isolieren wollt (Admin1 administriert nur Server A und B...), dann bleibt Euch nichts anderes, als zwischen Not und Übel zu wählen:
-Subdomains (wollt Ihr nicht)
-diese Server komplett den Externen überlassen und selbst gar nicht raufgehen, zumindest nicht mit Konten, die anderweitig im Netzwerk was zu sagen haben
-Alles und Jedes Überwachen und möglichst noch zum Abmildern Win8.1/2012 R2 ausrollen.

Das ist jetzt eine Ansage, für den Fall, dass Ihr es ernst meint und nicht nur ein Chef sich sagt "ach, wäre ja ganz schön, wenn...".