philhay82
Goto Top

User Lese-Rechte im AD-SnapIn sperren (RSAT-Tools)

Hallo,

als Domänenuser hat man per default die Möglichkeit mit vorhanden RSAT-Tools die AD-Objekte zu sehen.

Wie sperre ich das am Besten?

Ich kann in der dazugehörigen OU oder auf oberste Ebene in den Sicherheitseinstellungen das Leserecht auf authentifizierte User entziehen.

Hat das irgendwelche Nachwirkungen? Beim AD-Login etc?
Den Domänen-Admin würde ich natürlich von der Sperre vorwegnehmen.


Besten Dank


Viele Grüße

Content-Key: 299180

Url: https://administrator.de/contentid/299180

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 15.03.2016 um 18:08:10 Uhr
Goto Top
Hi.

Zunächst mal: wozu das Ganze, was ist daran schlimm, dass Nutzer dort etwas (was denn genau) sehen können?
Du kannst die Gruppe der authentifizierten Nutzer raus nehmen und statt dessen Domadmins reinnehmen, ja. Nebenwirkungen wird es erst dann haben, wenn im Namen des Nutzers laufende Programme warum auch immer AD-User auflisten wollen, das wird nur sehr selten vorkommen.
Ich würde es lassen wie es ist und stattdessen das Konzept überdenken, welches so etwas erfordert.
Mitglied: emeriks
emeriks 15.03.2016 um 19:02:52 Uhr
Goto Top
Hi,
wie DWW schreibt.

Verbiete doch das Ausführen der MMC per GPO. Oder installiere RSAT erst gar nicht am Client PC.

E.
Mitglied: 114757
114757 15.03.2016 aktualisiert um 20:01:21 Uhr
Goto Top
Moin.
Zitat von @philhay82:

oder auf oberste Ebene in den Sicherheitseinstellungen das Leserecht auf authentifizierte User entziehen.

Hat das irgendwelche Nachwirkungen? Beim AD-Login etc?

Tu das bloß nicht auf Domainlevel (Root-Container) wie du hier schreibst, das hat definitiv Auswirkungen auf die Funktionalität, auch wenn es auf den ersten Blick nicht so scheint.
Bevor man hier schraubt solltest du dir dringend die Beitragsserie hier durchlesen:
http://www.windowsitpro.com/active-directory/hiding-active-directory-ob ...
Das ist ein Dreiteiler der die Funktionsweise detailliert erläutert. Ohne dieses Hintergundwissen bringst du dir sonst dein AD vollkommen durcheinander.

Habe damit auch schon mal gearbeitet.
Wenn man das damit machen will solltest du das dringend erst mal in einer Testumgebung aufbauen, denn damit zerschießt du dir ganz schnell einiges.

Ich kann davon auch nur abraten. Denn damit baust du dir Bugs ein die du zu dem Zeitpunkt noch gar nicht ahnst.

Gruß jodel32

p.s. Für Delegierte Aufgaben muss nicht immer unbedingt RSAT installiert sein.