10
Welchen Admin brauche ich?
Guten Tag, zunächst mal bin ich eigentlich kein Administrator. Wir sind eine kleine Firma (10 - 15 Mitarbeiter, schwankt immer mal) und werden von einer Computerfirma betreut, wenn etwas ansteht. Wir haben einen Server auf dem die ganzen Daten und Drucker sind und der auch die User verwaltet - im Active Directory.
Die meisten Dinge macht der Chef selbst. Aber er hätte gerne eine Vertretung. Da geht es um Sachen wie mal einen Drucker oder eine Software installieren. Mal ein Passwort von einem Mitarbeiter zurücksetzen. Wenn es was größeres ist, dann machen die Profis das.
Ich finde das gut, habe Lust auf diese Arbeit. So kann ich da vielleicht etwas reinschnuppern und vielleicht bekomme ich ja eine Fortbildung vom Chef bezahlt und kümmere mich zukünftig mehr um unsere Computer.
Jetzt habe ich mich schon etwas eingearbeitet und mir ist aufgefallen, dass es nur einen einzigen Administrator gibt. Was, wenn ich da zu oft das falsche Passwort eintippe und der gesperrt wird - dann wäre das wohl schlecht.
Ich denke, der vorhandene hat alles. Er ist Mitglied bei Administrator, Domänen-A., Organisations-A., Schema-A., WSUS-A.
Daher dachte ich mir, dass ich einen Administrator anlege, mit dem ich nötigenfalls den "echten" Administrator auslösen kann und der auch weniger Rechte hat (das wäre sinnvoll, habe ich so schon recherchiert). Also nur als Administrator - aber damit kann ich bei mir am PC z.B. keine Software installieren. Ich kann jetzt natürlich hin und her probieren, aber ich habe dieses Forum gefunden, als ich nach Administrator-Arten gegoogelt habe, und dachte, ich frage mal an.
Die aktuelle Frage wäre also, welchen Administrator muss ich haben, damit ich Drucker und Software auf Mitarbeiter-PCs installieren kann.
Die zweite Frage wäre, ob es irgendwo eine Liste über die einzelnen Administrator-Arten gibt.
Die meisten Dinge macht der Chef selbst. Aber er hätte gerne eine Vertretung. Da geht es um Sachen wie mal einen Drucker oder eine Software installieren. Mal ein Passwort von einem Mitarbeiter zurücksetzen. Wenn es was größeres ist, dann machen die Profis das.
Ich finde das gut, habe Lust auf diese Arbeit. So kann ich da vielleicht etwas reinschnuppern und vielleicht bekomme ich ja eine Fortbildung vom Chef bezahlt und kümmere mich zukünftig mehr um unsere Computer.
Jetzt habe ich mich schon etwas eingearbeitet und mir ist aufgefallen, dass es nur einen einzigen Administrator gibt. Was, wenn ich da zu oft das falsche Passwort eintippe und der gesperrt wird - dann wäre das wohl schlecht.
Ich denke, der vorhandene hat alles. Er ist Mitglied bei Administrator, Domänen-A., Organisations-A., Schema-A., WSUS-A.
Daher dachte ich mir, dass ich einen Administrator anlege, mit dem ich nötigenfalls den "echten" Administrator auslösen kann und der auch weniger Rechte hat (das wäre sinnvoll, habe ich so schon recherchiert). Also nur als Administrator - aber damit kann ich bei mir am PC z.B. keine Software installieren. Ich kann jetzt natürlich hin und her probieren, aber ich habe dieses Forum gefunden, als ich nach Administrator-Arten gegoogelt habe, und dachte, ich frage mal an.
Die aktuelle Frage wäre also, welchen Administrator muss ich haben, damit ich Drucker und Software auf Mitarbeiter-PCs installieren kann.
Die zweite Frage wäre, ob es irgendwo eine Liste über die einzelnen Administrator-Arten gibt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52217805186
Url: https://administrator.de/contentid/52217805186
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
du solltest am besten einen neuen User als Dom Admin (bzw personalisierte für jeden Administrator) anlegen, da genau der default Admin eben nicht gesperrt werden kann.
Best Practice ist daher den default Administrator zu deaktivieren.
Gruß
Spirit
du solltest am besten einen neuen User als Dom Admin (bzw personalisierte für jeden Administrator) anlegen, da genau der default Admin eben nicht gesperrt werden kann.
Best Practice ist daher den default Administrator zu deaktivieren.
Gruß
Spirit
1
Der User "Administrator" ist gesperrt. Der einzige Administrator, der da ist, heißt nicht "Administrator", aber er ist eben der Einzige.
Also mit Domänen-Administrator kann ich Programme installieren. Dachte der Domänen-A. hätte vielleicht zu viele Rechte, falls doch mal jemand das Passwort knackt oder so.
Also mit Domänen-Administrator kann ich Programme installieren. Dachte der Domänen-A. hätte vielleicht zu viele Rechte, falls doch mal jemand das Passwort knackt oder so.
Also erstmal ist dein Vorhaben grundsätzlich löblich. Man personalisiert die Admin Accounts eigentlich damit man zwischen verschiedenen Admins und dem was sie so tun unterscheiden kann und damit man beim Ausscheiden eines Admins die Passwörter nicht wechseln muss sondern einfach den Account deaktiviert.
Der default Admin Account bekommt ein sicheres Passwort das man irgendwo versiegelt im Tresor lagert, deaktivieren würde ich den nicht. Alternativ kann man einen Notfall-Admin-Account anlegen und das Passwort sicher aufbewahren.
Leider lassen sich die Rechte zum Admin in der Praxis nur schwer einem neuen Account zuweisen. In Windows musst du das auf jedem OS für jeden Admin machen und auch im Dateisystem und sonst überall pflegen. Daher solltest du eine Admin-Gruppe anlegen und diese Gruppe berechtigen. Auf einem Client muss dann die Domain-Admin-Gruppe Mitglied der lokalen Admin-Gruppe sein und dann geht das auch.
Der default Admin Account bekommt ein sicheres Passwort das man irgendwo versiegelt im Tresor lagert, deaktivieren würde ich den nicht. Alternativ kann man einen Notfall-Admin-Account anlegen und das Passwort sicher aufbewahren.
Leider lassen sich die Rechte zum Admin in der Praxis nur schwer einem neuen Account zuweisen. In Windows musst du das auf jedem OS für jeden Admin machen und auch im Dateisystem und sonst überall pflegen. Daher solltest du eine Admin-Gruppe anlegen und diese Gruppe berechtigen. Auf einem Client muss dann die Domain-Admin-Gruppe Mitglied der lokalen Admin-Gruppe sein und dann geht das auch.
1
So ist es angelegt. Es gibt u.a. eine Gruppe Domänen-Administratoren und da ist der bisherige Administrator mit drin.
Also lege ich den neuen mit dort rein.
Alles klar. Ich dachte, der Domänen-Admin wäre sozusagen ein Super-Admin, der in der Domäne alles dürfte, daher wollte ich meinen Admin nicht zum Domänen-Admin machen, sondern nur so viele Rechte geben, dass ich eben Drucker und Software installieren und ggf. mal ein Passwort zurücksetzen kann.
Also lege ich den neuen mit dort rein.
Alles klar. Ich dachte, der Domänen-Admin wäre sozusagen ein Super-Admin, der in der Domäne alles dürfte, daher wollte ich meinen Admin nicht zum Domänen-Admin machen, sondern nur so viele Rechte geben, dass ich eben Drucker und Software installieren und ggf. mal ein Passwort zurücksetzen kann.
Wenn dein lokaler Client einer Domain beitritt, wird der Domain-Admin-Account automatisch lokaler Admin. Insofern hast du Recht mit Super-Admin. Das passiert aber eben nur mit diesem Account. Wenn man nicht Microsoft wäre und würde das neu entwickeln würde man das vermutlich mit einer Gruppe oder Rolle machen aber es ist wie es ist. So macht man das im prinzip manuell oder per GPO.
wenn man es perfekt machen will:
1. den Default Administrator ein ultra PW festlegen und in Tresor (wurde oben schon gesagt).
AB und zu braucht man den, gibt manchmal komische Software auf Servern, die kann man dann nur updaten wenn man den ursprungs Admin Account zum installieren verwendet hat >> wenn das in der vergangenheit der Administrator war >> braucht man den Account dann wieder....
2. Jeder Admin bekommt einen eigenen Domain Admin Account,
Damit Administriert man das AD und ggf. eben die Server
3. Jeder Admin bekommt noch eine Admin Account >> zum Administrieren der Clients, Software Installieren, what
ever.... Am besten eine Gruppe im AD Erstellen z.B. Client-Admins und diese Accounts da rein.
Dann per GPO die Client-Admins Gruppe als Lokale Admin Gruppe eintragen lassen.
Somit verwendet man den Domain Admin niemals auf Clients, verringert das Risiko das jemand die Passwort Hashes stehlen kann und Domain Admin Accounts knacken kann...
1. den Default Administrator ein ultra PW festlegen und in Tresor (wurde oben schon gesagt).
AB und zu braucht man den, gibt manchmal komische Software auf Servern, die kann man dann nur updaten wenn man den ursprungs Admin Account zum installieren verwendet hat >> wenn das in der vergangenheit der Administrator war >> braucht man den Account dann wieder....
2. Jeder Admin bekommt einen eigenen Domain Admin Account,
Damit Administriert man das AD und ggf. eben die Server
3. Jeder Admin bekommt noch eine Admin Account >> zum Administrieren der Clients, Software Installieren, what
ever.... Am besten eine Gruppe im AD Erstellen z.B. Client-Admins und diese Accounts da rein.
Dann per GPO die Client-Admins Gruppe als Lokale Admin Gruppe eintragen lassen.
Somit verwendet man den Domain Admin niemals auf Clients, verringert das Risiko das jemand die Passwort Hashes stehlen kann und Domain Admin Accounts knacken kann...
3
Der Default Admin "Administrator" ist der erste Account welcher angegriffen wird, da hier keine Sperrung beim durchprobieren von Passwörtern erfolgt.
Also ist der Hinweis oben doch eher fahrlässig.
Also ist der Hinweis oben doch eher fahrlässig.
Ich danke euch allen. Funktioniert
2. Jeder Admin bekommt einen eigenen Domain Admin Account,
Damit Administriert man das AD und ggf. eben die Server
Damit Administriert man das AD und ggf. eben die Server
Der Domain-Admin administriert die Domain selbst, aber nicht den Inhalt! Auch Schema Admin ist sehr speziell. 99% der Tätigkeit brauchen keinen der beiden. Und Die Konten mit den Rechten sollte ausschließlich auf DCs genutzt werden.
Mach dir eine Gruppe, Delegier die Rechte auf eure User/Computer OU (würde ich auch nicht die default nehmen) und in die gruppe gibst du dann deinen Admin. Mit dem machst du dann tägliche Tasks, wie neue User, Namen,...
Eigener Admin für Computer per GPO wie scho beschrieben.
Sg Dirm
Zitat von @ThePinky777:
wenn man es perfekt machen will:
1. den Default Administrator ein ultra PW festlegen und in Tresor (wurde oben schon gesagt).
AB und zu braucht man den, gibt manchmal komische Software auf Servern, die kann man dann nur updaten wenn man den ursprungs Admin Account zum installieren verwendet hat >> wenn das in der vergangenheit der Administrator war >> braucht man den Account dann wieder....
2. Jeder Admin bekommt einen eigenen Domain Admin Account,
Damit Administriert man das AD und ggf. eben die Server
3. Jeder Admin bekommt noch eine Admin Account >> zum Administrieren der Clients, Software Installieren, what
ever.... Am besten eine Gruppe im AD Erstellen z.B. Client-Admins und diese Accounts da rein.
Dann per GPO die Client-Admins Gruppe als Lokale Admin Gruppe eintragen lassen.
Somit verwendet man den Domain Admin niemals auf Clients, verringert das Risiko das jemand die Passwort Hashes stehlen kann und Domain Admin Accounts knacken kann...
wenn man es perfekt machen will:
1. den Default Administrator ein ultra PW festlegen und in Tresor (wurde oben schon gesagt).
AB und zu braucht man den, gibt manchmal komische Software auf Servern, die kann man dann nur updaten wenn man den ursprungs Admin Account zum installieren verwendet hat >> wenn das in der vergangenheit der Administrator war >> braucht man den Account dann wieder....
2. Jeder Admin bekommt einen eigenen Domain Admin Account,
Damit Administriert man das AD und ggf. eben die Server
3. Jeder Admin bekommt noch eine Admin Account >> zum Administrieren der Clients, Software Installieren, what
ever.... Am besten eine Gruppe im AD Erstellen z.B. Client-Admins und diese Accounts da rein.
Dann per GPO die Client-Admins Gruppe als Lokale Admin Gruppe eintragen lassen.
Somit verwendet man den Domain Admin niemals auf Clients, verringert das Risiko das jemand die Passwort Hashes stehlen kann und Domain Admin Accounts knacken kann...
Was ThePinky sagt, außer dass man den DA zur administration von Servern verwendet. Das widerspricht der Empfehlung von Microsoft.
Wenn ich software hätte, die den default domain admin braucht, würde ich sie deinstallieren. Dann macht die nämlich Unsinn.
Überhaupt würde ich nie - nie nie nie nie - software installieren, die Domain admin rechts benötigt. Das ist grundlegend falsch und widerspricht allem, was Microsoft dazu sagt.
