4
Zugriff auf alle NetzwerkResourcen bestimmtem Benutzer verweigern.
Gegeben ist eine Domäne mit Windows 2003 Server und mehreren DCs
Hallo zusammen,
ich suche nach einer Lösung den Zugriff auf bestimmte Rechner über GPO zu vermeiden. Hacken daran ist, dass der zugriff soll für einen „externen“ Benutzer mit rechten eines Domänen-Administrators auf die (den) Rechner / Server beschränkt werden, auf den er den zugriff braucht.
Dass die Sache stinkt und dass der Typ sich im schlimmsten fall die rechte holen kann ist mir klar, ist dann aber auch nicht mein Problem.
mfg
Denis
Hallo zusammen,
ich suche nach einer Lösung den Zugriff auf bestimmte Rechner über GPO zu vermeiden. Hacken daran ist, dass der zugriff soll für einen „externen“ Benutzer mit rechten eines Domänen-Administrators auf die (den) Rechner / Server beschränkt werden, auf den er den zugriff braucht.
Dass die Sache stinkt und dass der Typ sich im schlimmsten fall die rechte holen kann ist mir klar, ist dann aber auch nicht mein Problem.
mfg
Denis
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139600
Url: https://administrator.de/contentid/139600
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
du kannst bei Accounts bestimmen auf welcher Rechner er sich anmelden darf. Schau mal bei den Benutzereigenschaften auf den Reiter Konto und dann den Button Anmelden an klicken. Alles weitere erklärt sich von selbst. Ich würde ihn auch keine Dom-Adminrechte geben. Lösung wäre eine neue Sicherheitsgruppe und dann ganz genau bestimmen was er darf und was nicht.
du kannst bei Accounts bestimmen auf welcher Rechner er sich anmelden darf. Schau mal bei den Benutzereigenschaften auf den Reiter Konto und dann den Button Anmelden an klicken. Alles weitere erklärt sich von selbst. Ich würde ihn auch keine Dom-Adminrechte geben. Lösung wäre eine neue Sicherheitsgruppe und dann ganz genau bestimmen was er darf und was nicht.
Hi.
Du suchst die Policy "Zugriff auf diesen Rechner vom Netzwerk verweigern" unterhalb der Computerkonfig - Sicherheitseinstellungen - Zuweisen von Benutzerrechten
Du suchst die Policy "Zugriff auf diesen Rechner vom Netzwerk verweigern" unterhalb der Computerkonfig - Sicherheitseinstellungen - Zuweisen von Benutzerrechten
Hallo zusammen,
ich habe das über GPOs "Zugriff auf diesen Rechner vom Netzwerk verweigern" gemacht, klappt fast super.
sobald ich rausgefunden habe was der Typ genau braucht, werde ich ihn auch einschränken.
ein kleines Problemchen bleibt aber übrig.
ich habe insgesamt 2 DCs auf DC1 soll er "fast" unbeschränkt zugreifen und AD umfummeln dürfen, DC2 soll ein Tabu bleiben, da auch Fileserver implementiert ist, wo ich keinen externen Admin dulde.
Doof ist aber, dass DC2 auch Betriebsmasterrollen trägt.
Effekt ist aber, sobald ich DC2 aussperre, kann ich keine Gruppenrichtlinien für diesen Benutzer verteilen.
kann man nicht bestimmen, von welchem DC die GPOs Übernomen werden?
mfg
Denis
ich habe das über GPOs "Zugriff auf diesen Rechner vom Netzwerk verweigern" gemacht, klappt fast super.
sobald ich rausgefunden habe was der Typ genau braucht, werde ich ihn auch einschränken.
ein kleines Problemchen bleibt aber übrig.
ich habe insgesamt 2 DCs auf DC1 soll er "fast" unbeschränkt zugreifen und AD umfummeln dürfen, DC2 soll ein Tabu bleiben, da auch Fileserver implementiert ist, wo ich keinen externen Admin dulde.
Doof ist aber, dass DC2 auch Betriebsmasterrollen trägt.
Effekt ist aber, sobald ich DC2 aussperre, kann ich keine Gruppenrichtlinien für diesen Benutzer verteilen.
kann man nicht bestimmen, von welchem DC die GPOs Übernomen werden?
mfg
Denis
Ich denke nicht, das man das kann und würde auch von dieser "Lösung" zurücktreten. Delegier lieber nötige Rechte an einen nicht-Domänenadmin, wie schon vorgeschlagen.
