3
User Lese-Rechte im AD-SnapIn sperren (RSAT-Tools)
Hallo,
als Domänenuser hat man per default die Möglichkeit mit vorhanden RSAT-Tools die AD-Objekte zu sehen.
Wie sperre ich das am Besten?
Ich kann in der dazugehörigen OU oder auf oberste Ebene in den Sicherheitseinstellungen das Leserecht auf authentifizierte User entziehen.
Hat das irgendwelche Nachwirkungen? Beim AD-Login etc?
Den Domänen-Admin würde ich natürlich von der Sperre vorwegnehmen.
Besten Dank
Viele Grüße
als Domänenuser hat man per default die Möglichkeit mit vorhanden RSAT-Tools die AD-Objekte zu sehen.
Wie sperre ich das am Besten?
Ich kann in der dazugehörigen OU oder auf oberste Ebene in den Sicherheitseinstellungen das Leserecht auf authentifizierte User entziehen.
Hat das irgendwelche Nachwirkungen? Beim AD-Login etc?
Den Domänen-Admin würde ich natürlich von der Sperre vorwegnehmen.
Besten Dank
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299180
Url: https://administrator.de/contentid/299180
Ausgedruckt am: 24.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Hi.
Zunächst mal: wozu das Ganze, was ist daran schlimm, dass Nutzer dort etwas (was denn genau) sehen können?
Du kannst die Gruppe der authentifizierten Nutzer raus nehmen und statt dessen Domadmins reinnehmen, ja. Nebenwirkungen wird es erst dann haben, wenn im Namen des Nutzers laufende Programme warum auch immer AD-User auflisten wollen, das wird nur sehr selten vorkommen.
Ich würde es lassen wie es ist und stattdessen das Konzept überdenken, welches so etwas erfordert.
Zunächst mal: wozu das Ganze, was ist daran schlimm, dass Nutzer dort etwas (was denn genau) sehen können?
Du kannst die Gruppe der authentifizierten Nutzer raus nehmen und statt dessen Domadmins reinnehmen, ja. Nebenwirkungen wird es erst dann haben, wenn im Namen des Nutzers laufende Programme warum auch immer AD-User auflisten wollen, das wird nur sehr selten vorkommen.
Ich würde es lassen wie es ist und stattdessen das Konzept überdenken, welches so etwas erfordert.
Hi,
wie DWW schreibt.
Verbiete doch das Ausführen der MMC per GPO. Oder installiere RSAT erst gar nicht am Client PC.
E.
wie DWW schreibt.
Verbiete doch das Ausführen der MMC per GPO. Oder installiere RSAT erst gar nicht am Client PC.
E.
Moin.
Tu das bloß nicht auf Domainlevel (Root-Container) wie du hier schreibst, das hat definitiv Auswirkungen auf die Funktionalität, auch wenn es auf den ersten Blick nicht so scheint.
Bevor man hier schraubt solltest du dir dringend die Beitragsserie hier durchlesen:
http://www.windowsitpro.com/active-directory/hiding-active-directory-ob ...
Das ist ein Dreiteiler der die Funktionsweise detailliert erläutert. Ohne dieses Hintergundwissen bringst du dir sonst dein AD vollkommen durcheinander.
Habe damit auch schon mal gearbeitet.
Wenn man das damit machen will solltest du das dringend erst mal in einer Testumgebung aufbauen, denn damit zerschießt du dir ganz schnell einiges.
Ich kann davon auch nur abraten. Denn damit baust du dir Bugs ein die du zu dem Zeitpunkt noch gar nicht ahnst.
Gruß jodel32
p.s. Für Delegierte Aufgaben muss nicht immer unbedingt RSAT installiert sein.
Zitat von @philhay82:
oder auf oberste Ebene in den Sicherheitseinstellungen das Leserecht auf authentifizierte User entziehen.
Hat das irgendwelche Nachwirkungen? Beim AD-Login etc?
oder auf oberste Ebene in den Sicherheitseinstellungen das Leserecht auf authentifizierte User entziehen.
Hat das irgendwelche Nachwirkungen? Beim AD-Login etc?
Tu das bloß nicht auf Domainlevel (Root-Container) wie du hier schreibst, das hat definitiv Auswirkungen auf die Funktionalität, auch wenn es auf den ersten Blick nicht so scheint.
Bevor man hier schraubt solltest du dir dringend die Beitragsserie hier durchlesen:
http://www.windowsitpro.com/active-directory/hiding-active-directory-ob ...
Das ist ein Dreiteiler der die Funktionsweise detailliert erläutert. Ohne dieses Hintergundwissen bringst du dir sonst dein AD vollkommen durcheinander.
Habe damit auch schon mal gearbeitet.
Wenn man das damit machen will solltest du das dringend erst mal in einer Testumgebung aufbauen, denn damit zerschießt du dir ganz schnell einiges.
Ich kann davon auch nur abraten. Denn damit baust du dir Bugs ein die du zu dem Zeitpunkt noch gar nicht ahnst.
Gruß jodel32
p.s. Für Delegierte Aufgaben muss nicht immer unbedingt RSAT installiert sein.
