4
Rechtedelegierung im AD
Hallo zusammen,
wir haben seit einiger Zeit Azubis. Diesen möchten wir an dieser Stelle noch keinen Domänen-Admin geben sondern erstmal langsam anfangen.
Sie sollen im ersten Schritt PCs in die Domäne aufnehmen dürfen und diese in die entsprechende OU schieben.
Jetzt habe ich ein wenig nachgelesen und bin auf das Thema Delegierung gestoßen.
Wie wird das bei euch gelöst bzw. was ist hier Best Practice? Bin für jeden Denkanstoß dankbar.
LG Alex
wir haben seit einiger Zeit Azubis. Diesen möchten wir an dieser Stelle noch keinen Domänen-Admin geben sondern erstmal langsam anfangen.
Sie sollen im ersten Schritt PCs in die Domäne aufnehmen dürfen und diese in die entsprechende OU schieben.
Jetzt habe ich ein wenig nachgelesen und bin auf das Thema Delegierung gestoßen.
Wie wird das bei euch gelöst bzw. was ist hier Best Practice? Bin für jeden Denkanstoß dankbar.
LG Alex
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671613
Url: https://administrator.de/forum/rechtedelegierung-im-ad-671613.html
Ausgedruckt am: 31.03.2025 um 08:03 Uhr
4 Kommentare
Neuester Kommentar
Best Practice ist sowieso das für sowas wie in andere OU verschieben oder Domain-Join von niemandem, egal ob Azubi oder nicht, ein Domain-Admin Account benutzt wird.
Bei uns haben dazu alle mehrere verschiedene Admin Accounts wie zB. Workstation-Admin der Rechte auf die OU mit den Clients und die jeweiligen unter-OUs hat.
Server-Admins entsprechend, wobei hier nochmal unterteilt ist in verschiedene Tiers je nach Wichtigkeit.
Entsprechend dann auch Zugriff/Login von Domain-Admins auf normalen Servern + Workstations blocken, Zugriff von Server-Admins auf Workstations blocken.
Bei uns haben dazu alle mehrere verschiedene Admin Accounts wie zB. Workstation-Admin der Rechte auf die OU mit den Clients und die jeweiligen unter-OUs hat.
Server-Admins entsprechend, wobei hier nochmal unterteilt ist in verschiedene Tiers je nach Wichtigkeit.
Entsprechend dann auch Zugriff/Login von Domain-Admins auf normalen Servern + Workstations blocken, Zugriff von Server-Admins auf Workstations blocken.
Erstelle eine Rollengruppe "Domänen-Beitritt" o.ä.
Admin-Konto des Azubi dort rein.
Dieser Rolle in der Ziel-OU das Recht zum Erstellen von Computer-Objekten erteilen.
Azubi muss jetzt mit seinem Admin-Konto zuerst ein Computer-Objekt erstellen, welches im Namen so heißen muss, wie der beizutretende Computer. Dabei wird sein Admin-Konto Besitzer des Computer-Objekts.
Jetzt kann Azubi mit seinem Admin-Konto den Computer der Domäne beitreten lassen. Er muss anschließend nichts im AD verschieben.
Diese Methode hat auch den Vorteil, dass ggf. ab der Ziel-OU geltende GPO's sofort nach Beitritt gelten. So z.B. GPO zum Eintragen der lokalen Admins, welche z.B. steuert, dass das Admin-Konto des Azubi nach dem Beitritt lokale Admin-Rechte auf dem neuen Comuter hat.
Admin-Konto des Azubi dort rein.
Dieser Rolle in der Ziel-OU das Recht zum Erstellen von Computer-Objekten erteilen.
Azubi muss jetzt mit seinem Admin-Konto zuerst ein Computer-Objekt erstellen, welches im Namen so heißen muss, wie der beizutretende Computer. Dabei wird sein Admin-Konto Besitzer des Computer-Objekts.
Jetzt kann Azubi mit seinem Admin-Konto den Computer der Domäne beitreten lassen. Er muss anschließend nichts im AD verschieben.
Diese Methode hat auch den Vorteil, dass ggf. ab der Ziel-OU geltende GPO's sofort nach Beitritt gelten. So z.B. GPO zum Eintragen der lokalen Admins, welche z.B. steuert, dass das Admin-Konto des Azubi nach dem Beitritt lokale Admin-Rechte auf dem neuen Comuter hat.
1
Moin.
Ich würde es weitaus schlauer finden, denen eine eigene Spieldomäne zu geben.
Ich würde es weitaus schlauer finden, denen eine eigene Spieldomäne zu geben.
1
Azubis bekommen einen normalen Benutzer, der kann Geräte joinen. Die Hostnamen der Geräte legt man vorher fest, Azubi macht eine Liste (Planung der Arbeit) und Azubi soll zusammen mit einem Senior die Objekte im AD anlegen. Das macht man in einem Wisch, evtl zum Nachvollziehen im AD noch die Computer-Objekte kennzeichnen "Azubi". Alternativ kann man eine neue OU erstellen "Azubi", dort die nötigen GPOs setzen und alles dort erstmal rein.
