3
Rechtedelegierung im AD
Hallo zusammen,
wir haben seit einiger Zeit Azubis. Diesen möchten wir an dieser Stelle noch keinen Domänen-Admin geben sondern erstmal langsam anfangen.
Sie sollen im ersten Schritt PCs in die Domäne aufnehmen dürfen und diese in die entsprechende OU schieben.
Jetzt habe ich ein wenig nachgelesen und bin auf das Thema Delegierung gestoßen.
Wie wird das bei euch gelöst bzw. was ist hier Best Practice? Bin für jeden Denkanstoß dankbar.
LG Alex
wir haben seit einiger Zeit Azubis. Diesen möchten wir an dieser Stelle noch keinen Domänen-Admin geben sondern erstmal langsam anfangen.
Sie sollen im ersten Schritt PCs in die Domäne aufnehmen dürfen und diese in die entsprechende OU schieben.
Jetzt habe ich ein wenig nachgelesen und bin auf das Thema Delegierung gestoßen.
Wie wird das bei euch gelöst bzw. was ist hier Best Practice? Bin für jeden Denkanstoß dankbar.
LG Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671613
Url: https://administrator.de/forum/rechtedelegierung-im-ad-671613.html
Ausgedruckt am: 25.02.2025 um 16:02 Uhr
3 Kommentare
Neuester Kommentar
Best Practice ist sowieso das für sowas wie in andere OU verschieben oder Domain-Join von niemandem, egal ob Azubi oder nicht, ein Domain-Admin Account benutzt wird.
Bei uns haben dazu alle mehrere verschiedene Admin Accounts wie zB. Workstation-Admin der Rechte auf die OU mit den Clients und die jeweiligen unter-OUs hat.
Server-Admins entsprechend, wobei hier nochmal unterteilt ist in verschiedene Tiers je nach Wichtigkeit.
Entsprechend dann auch Zugriff/Login von Domain-Admins auf normalen Servern + Workstations blocken, Zugriff von Server-Admins auf Workstations blocken.
Bei uns haben dazu alle mehrere verschiedene Admin Accounts wie zB. Workstation-Admin der Rechte auf die OU mit den Clients und die jeweiligen unter-OUs hat.
Server-Admins entsprechend, wobei hier nochmal unterteilt ist in verschiedene Tiers je nach Wichtigkeit.
Entsprechend dann auch Zugriff/Login von Domain-Admins auf normalen Servern + Workstations blocken, Zugriff von Server-Admins auf Workstations blocken.
Erstelle eine Rollengruppe "Domänen-Beitritt" o.ä.
Admin-Konto des Azubi dort rein.
Dieser Rolle in der Ziel-OU das Recht zum Erstellen von Computer-Objekten erteilen.
Azubi muss jetzt mit seinem Admin-Konto zuerst ein Computer-Objekt erstellen, welches im Namen so heißen muss, wie der beizutretende Computer. Dabei wird sein Admin-Konto Besitzer des Computer-Objekts.
Jetzt kann Azubi mit seinem Admin-Konto den Computer der Domäne beitreten lassen. Er muss anschließend nichts im AD verschieben.
Diese Methode hat auch den Vorteil, dass ggf. ab der Ziel-OU geltende GPO's sofort nach Beitritt gelten. So z.B. GPO zum Eintragen der lokalen Admins, welche z.B. steuert, dass das Admin-Konto des Azubi nach dem Beitritt lokale Admin-Rechte auf dem neuen Comuter hat.
Admin-Konto des Azubi dort rein.
Dieser Rolle in der Ziel-OU das Recht zum Erstellen von Computer-Objekten erteilen.
Azubi muss jetzt mit seinem Admin-Konto zuerst ein Computer-Objekt erstellen, welches im Namen so heißen muss, wie der beizutretende Computer. Dabei wird sein Admin-Konto Besitzer des Computer-Objekts.
Jetzt kann Azubi mit seinem Admin-Konto den Computer der Domäne beitreten lassen. Er muss anschließend nichts im AD verschieben.
Diese Methode hat auch den Vorteil, dass ggf. ab der Ziel-OU geltende GPO's sofort nach Beitritt gelten. So z.B. GPO zum Eintragen der lokalen Admins, welche z.B. steuert, dass das Admin-Konto des Azubi nach dem Beitritt lokale Admin-Rechte auf dem neuen Comuter hat.
1
Moin.
Ich würde es weitaus schlauer finden, denen eine eigene Spieldomäne zu geben.
Ich würde es weitaus schlauer finden, denen eine eigene Spieldomäne zu geben.
1
