7
User mit Installrechten auf DC
Hallo
Folgendes Szenario
Bei uns soll eine neue Software Installiert werden.
Wir haben 2 Server (beide DC´s)
Auf einem der beiden soll jetzt Filemaker und besagte Datenbank installeirt werden.
Die Firma möchte das ganze Remote machen und auch zukünftig Remote warten (eh eine nette Sache)
Also VPN Tunnel => Zugriff auf den DC1... soweit so gut alles kein Problem
Nur er braucht Lokale Admin Rechte weil er ja installieren muss. Alles klar geht nicht weil DC keine Lokalen Admins hat
Domain Admin find ich ein wenig übertrieben.
Er darf nicht auf die Dateien zugreifen können, sondern Install Rechte haben und dann halt auf sein zugehöriges Verzeichniss
Welche Rolle soll ich Ihn nun geben? Wie schränke ich ihn ein, ausser mit Gruppenrichtlinien für DC´s bzw für die Domäne, denn hier kann ich nicht alles einstellen !
danke
menac
Folgendes Szenario
Bei uns soll eine neue Software Installiert werden.
Wir haben 2 Server (beide DC´s)
Auf einem der beiden soll jetzt Filemaker und besagte Datenbank installeirt werden.
Die Firma möchte das ganze Remote machen und auch zukünftig Remote warten (eh eine nette Sache)
Also VPN Tunnel => Zugriff auf den DC1... soweit so gut alles kein Problem
Nur er braucht Lokale Admin Rechte weil er ja installieren muss. Alles klar geht nicht weil DC keine Lokalen Admins hat
Domain Admin find ich ein wenig übertrieben.
Er darf nicht auf die Dateien zugreifen können, sondern Install Rechte haben und dann halt auf sein zugehöriges Verzeichniss
Welche Rolle soll ich Ihn nun geben? Wie schränke ich ihn ein, ausser mit Gruppenrichtlinien für DC´s bzw für die Domäne, denn hier kann ich nicht alles einstellen !
danke
menac
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127546
Url: https://administrator.de/contentid/127546
Ausgedruckt am: 26.11.2024 um 18:11 Uhr
7 Kommentare
Neuester Kommentar
Grundsatzfrage: Hat die Gruppe "Administratoren" oder der Benutzer "Administrator" Zugriff auf die Daten?
Meiner Ansicht nach gibts eine einfache Lösung.
Gruppe Externe-Admins anlegen und Zugriff auf Daten verweigern.
Dann einen Benutzer XYZ anlegen mit Domainadminrechte und der Gruppe Externe-Admins zuordnen.
Soweit ich weis steht "verweigern" höher als "erlauben".
... mal so eine Theorie.
Bin aber sicher das du mit den Lokalen Sicherheitsrichtlinen auch was erreichen kannst.
LG
Meiner Ansicht nach gibts eine einfache Lösung.
Gruppe Externe-Admins anlegen und Zugriff auf Daten verweigern.
Dann einen Benutzer XYZ anlegen mit Domainadminrechte und der Gruppe Externe-Admins zuordnen.
Soweit ich weis steht "verweigern" höher als "erlauben".
... mal so eine Theorie.
Bin aber sicher das du mit den Lokalen Sicherheitsrichtlinen auch was erreichen kannst.
LG
Es ist die alte Leier - Admins zu beschränken geht nicht 100%ig, meist nicht mal ausreichend. Ich würde über einen weiteren Server nachdenken.
Der Kollege DerWoWusste hat schon recht. 100%ig einen Admin einschränken ist fast unmöglich.
Entweder vertraut man der Firma die Remote zugreift, oder man lässt keinen (unbeaufsichtigten) Remotezugriff zu.
So machen wir das bei unseren Kunden.
Da haben nur wir als Externe IT-Abteilung Zugriff und wenn einer von der WaWi-Firma
drauf will starten wir die Fernwartungssoftware und schauen ihm über die Schulter.
LG
Entweder vertraut man der Firma die Remote zugreift, oder man lässt keinen (unbeaufsichtigten) Remotezugriff zu.
So machen wir das bei unseren Kunden.
Da haben nur wir als Externe IT-Abteilung Zugriff und wenn einer von der WaWi-Firma
drauf will starten wir die Fernwartungssoftware und schauen ihm über die Schulter.
LG
Zitat von @DerWoWusste:
Es ist die alte Leier - Admins zu beschränken geht nicht 100%ig, meist nicht mal ausreichend.
Ich würde über einen weiteren Server nachdenken.
Es ist die alte Leier - Admins zu beschränken geht nicht 100%ig, meist nicht mal ausreichend.
Ich würde über einen weiteren Server nachdenken.
Die Alte Leier und dann auch noch erschwerend mit Filemaker...
Wer Filemaker unter Winblows kennt....
Ergo:
"DerWowußte" bedeutet mal wieder "Nomen est Omen" - alles andere - als seinen Tipp befolgen -ist wie vorm Abgrund stehen und zwei Schritte nach vorne machen.
(grade - wenn der DB Wartungsheini ein externer ist)
Gruß
naja einschränken kann ich ihn schon. er kann sich aber jede berechtigung auch wieder geben :D
is mir auch klar...
hab ausch schon alles gute zu filemaker gwunschen..... naja.
irgendwelche wintools gibts nicht?
#
is mir auch klar...
hab ausch schon alles gute zu filemaker gwunschen..... naja.
irgendwelche wintools gibts nicht?
#
Moin,
nochmal klar und deutlich:
Ihr habt ein Problem:
Das Problem ist nicht unbedingt der externe mit Domainadminrechten....
Das Problem ist Filemaker - hast du eine Ahnung, was der an Leistung saugt?
Datenbankserver==eigener Rechner..
Gruß
nochmal klar und deutlich:
Ihr habt ein Problem:
Das Problem ist nicht unbedingt der externe mit Domainadminrechten....
Das Problem ist Filemaker - hast du eine Ahnung, was der an Leistung saugt?
Datenbankserver==eigener Rechner..
Gruß
@ timo
danke das ist mir bewusst, trag aber nicht zur lösung meines eigenem problems teil!
danke das ist mir bewusst, trag aber nicht zur lösung meines eigenem problems teil!
