Zugriffsrechte für Administratoren
Hallo,
ich möchte folgende Konfiguration erreichen: In einer Domäne sollen alle Domänen-Administratoren nur noch von bestimmten (dedizierten) administrativen PC's eine Verbindung (Remote Desktop, Netzlaufwerk...) auf die Server in der Domäne herstellen können.
Ziel ist es, den Aktionsradius eines Domänen-Admins einzuschränken und somit (hoffentlich) die Umgebung sicherer zu machen.
Gefunden habe ich in den Policies, dass ich auf bestimmte Server den Zugriff einschränken kann - aber mit dieser Konfig ist ein Zugreifen trotdzem von jedem beliebigen PC aus möglich.
Kann da jemand weiterhelfen?
Vielen Dank.
dhmkscp
ich möchte folgende Konfiguration erreichen: In einer Domäne sollen alle Domänen-Administratoren nur noch von bestimmten (dedizierten) administrativen PC's eine Verbindung (Remote Desktop, Netzlaufwerk...) auf die Server in der Domäne herstellen können.
Ziel ist es, den Aktionsradius eines Domänen-Admins einzuschränken und somit (hoffentlich) die Umgebung sicherer zu machen.
Gefunden habe ich in den Policies, dass ich auf bestimmte Server den Zugriff einschränken kann - aber mit dieser Konfig ist ein Zugreifen trotdzem von jedem beliebigen PC aus möglich.
Kann da jemand weiterhelfen?
Vielen Dank.
dhmkscp
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 128539
Url: https://administrator.de/forum/zugriffsrechte-fuer-administratoren-128539.html
Ausgedruckt am: 13.05.2025 um 05:05 Uhr
6 Kommentare
Neuester Kommentar
Nicht ganz einfach, was Du vor hast. Deswegen würde ich gern Deine Zielsetzung hinterfragen.
Warum willst Du den Aktionsradius beschneiden, was wird dadurch sicherer?
Eher sollte das Domänenadminkonto ein häufig zu wechselndes, langes Kennwort haben und zudem dessen Anmeldeversuche überwacht werden.
Warum willst Du den Aktionsradius beschneiden, was wird dadurch sicherer?
Eher sollte das Domänenadminkonto ein häufig zu wechselndes, langes Kennwort haben und zudem dessen Anmeldeversuche überwacht werden.
Moin Moin
So wird das nix. Du kannst die rechte des Dom. Admins nicht sinnvoll beschneiden.
Was Du machen kannst: Für spezielle Administrative Tätigkeiten Konten/Gruppen schaffen die genau die nötigen Rechte haben die für die jeweilige Tätig keit benötig wird.
z.B. Clientmanagment, Servermanagment, Deployment , Backup usw.
Gruß L.
So wird das nix. Du kannst die rechte des Dom. Admins nicht sinnvoll beschneiden.
Was Du machen kannst: Für spezielle Administrative Tätigkeiten Konten/Gruppen schaffen die genau die nötigen Rechte haben die für die jeweilige Tätig keit benötig wird.
z.B. Clientmanagment, Servermanagment, Deployment , Backup usw.
Gruß L.
Moin,
ein DomAdmin ist per Rollendefinition ein Administrator, der in der Domain (im AD) alles machen kann.
Für alles andere kann der DomAdmin Berechtigungen im AD setzen und diesen bestimmten Rollen (in dem Fall Benutzergruppen) zuweisen, also Printadmins, Standortadmins etc.
Gruß
24
P.S. ne Sekretärin als DomAdmin ist fehlkonfiguriert
ein DomAdmin ist per Rollendefinition ein Administrator, der in der Domain (im AD) alles machen kann.
Für alles andere kann der DomAdmin Berechtigungen im AD setzen und diesen bestimmten Rollen (in dem Fall Benutzergruppen) zuweisen, also Printadmins, Standortadmins etc.
Gruß
24
P.S. ne Sekretärin als DomAdmin ist fehlkonfiguriert
Das Ganze ist mir schon klar, dass es nicht einfach ist.
Es ist leider eine Anforderung von meinem Chef, der möchte, dass sich z.B. Administratoren nur von bestimmten Citrix Servern an allen anderen Servern in der Domäne per RDP anmelden können. Es soll nicht möglich sein, dass Administratoren sich nicht vom eigenen PC aus auf die Server per RDP (RunAs) verbinden können.
Und da hock ich nu...
Grüße
Es ist leider eine Anforderung von meinem Chef, der möchte, dass sich z.B. Administratoren nur von bestimmten Citrix Servern an allen anderen Servern in der Domäne per RDP anmelden können. Es soll nicht möglich sein, dass Administratoren sich nicht vom eigenen PC aus auf die Server per RDP (RunAs) verbinden können.
Und da hock ich nu...
Grüße
Da gibt es nur eine Antwort - weniger DomAdmins - mehr Rollenadmins, ansonsten ist die Anforderung nicht umsetzbar...
Gruß
24
Gruß
24
Begründe doch mal, warum Dein Chef das will. Mit dieser Hintergrundinfo kommen wir vielleicht weiter. Wogegen schützt das?
