white-horse 10 Geschrieben 26. August 2008 Melden Teilen Geschrieben 26. August 2008 Hallo, folgendes Szenario: Haupdomäne: microsoft.com Subdomäne: linux.microsoft.com Beide Domäne mit W2k3 R2 installiert. Kann ich verhindern, dass ein Administrator der Hauptdomäne auf die Subdomäne linux.microsoft.com zugreifen kann? In meinen Testszenario, kann sich der Admin der Hauptdomäne microsoft.com jederzeit die "Active Directory-Benutzer und -Computer" als mmc-Snapin holen und entsprechend ändern, obwohl die Administrator-Passwörter der beiden Domänen unterschiedlich sind. Danke für Tips. Viele Grüße, Patrick Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 26. August 2008 Melden Teilen Geschrieben 26. August 2008 Kann ich verhindern, dass ein Administrator der Hauptdomäne auf die Subdomäne linux.microsoft.com zugreifen kann? In meinen Testszenario, kann sich der Admin der Hauptdomäne microsoft.com jederzeit die "Active Directory-Benutzer und -Computer" als mmc-Snapin holen und entsprechend ändern, obwohl die Administrator-Passwörter der beiden Domänen unterschiedlich sind. Von welchem Admin sprichst du? Dem Built-In-Admin? Oder einem selber angelegten Admin? Wenn selber angelegt, über welche Berechtigungen verfügt der denn? Zitieren Link zu diesem Kommentar
white-horse 10 Geschrieben 26. August 2008 Autor Melden Teilen Geschrieben 26. August 2008 Hallo, ich spreche vom Domänen Administrator, also von dem schon vorhandenen Administrator-Konto. Ich nehme an das meinst du mit dem Built-In-Admin. Danke für die Antwort Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. August 2008 Melden Teilen Geschrieben 26. August 2008 Hi, der erste Administrator der Root-Domäne ist standardmäßig auch gleichzeitig Enterprise-Admin. Dies kannst Du über die Gruppenmitgliedschaften gegenprüfen. Eine Alternative wäre beispielsweise in der Root-Domäne einen weiteren administrativen Account anzulegen, der Domänen-Admin Rechte zugewiesen bekommt. Dieser kann dann standardmäßig nicht mehr die Sub-Domänen administrieren. Der erste Administrator des Forests wird dann von Dir durch ein im Safe verwahrtes Kennwort gesichert und nur genutzt, sollten dies notwendig sein. Schau einmal hier hinein: http://www.microsoft.com/technet/solutionaccelerators/wssra/raguide/directoryservices/igdrbp_2.mspx Dort findest Du einige Hinweise zu Forest-Design Fragen. Viele Grüße olc Zitieren Link zu diesem Kommentar
white-horse 10 Geschrieben 26. August 2008 Autor Melden Teilen Geschrieben 26. August 2008 Alles klar, vielen Dank für die schnelle Antwort! Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 26. August 2008 Melden Teilen Geschrieben 26. August 2008 bekommt. Dieser kann dann standardmäßig nicht mehr die Sub-Domänen administrieren. Aber was nutzt das? Er kann sich einfach in die Gruppe der Enterprise Admins hinzufügen. Der erste Administrator des Forests wird dann von Dir durch ein im Safe verwahrtes Kennwort gesichert und nur genutzt, sollten dies notwendig sein. OK, aber was sollte der Built-in mehr können als ein manueller Admin? Soweit ich mich erinnere sind die Gruppen der Schemaadmins und Enterprise Admins sowieso besser leer. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 27. August 2008 Melden Teilen Geschrieben 27. August 2008 Hi, Aber was nutzt das? Er kann sich einfach in die Gruppe der Enterprise Admins hinzufügen. Da hast Du Recht, das habe ich nicht in meine Überlegungen mit aufgenommen. Vielen Dank für den Hinweis. Grundsätzlich lassen sich Änderungen in den Gruppenmitgliedschaften jedoch loggen, so daß man hier zumindest einen Alarm generieren kann, wenn sich jemand als Mitglied der Enterprise-Admin Gruppe definiert. Weiterhin haben viele größere Unternehmen genau aus diesem Grund als Root-Domäne nur Resourcen-Domänen, in denen ausschließlich die administrativen Accounts liegen. Aber Du hast Recht, sicherlich gibt viele Wege diese zusätzliche Sicherheit zu umgehen. OK, aber was sollte der Built-in mehr können als ein manueller Admin? Soweit ich mich erinnere sind die Gruppen der Schemaadmins und Enterprise Admins sowieso besser leer. Zumindest kann man ihn beispielsweise nicht so einfach Sperren (Stichwort: Account Lockout). Die Sache mit den Mitgliedern der Schema- und Enterprise-Admins wird immer wieder unterschiedlich diskutiert. Ich für meinen Teil habe bisher noch keine (endgültige, eindeutige und schlüssige) Empfehlung dazu finden können - weder von Microsoft, noch von anderen Sicherheitsunternehmen. Ich denke, das ist eine "Glaubensfrage". Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 27. August 2008 Melden Teilen Geschrieben 27. August 2008 Weiterhin haben viele größere Unternehmen genau aus diesem Grund als Root-Domäne nur Resourcen-Domänen, in denen ausschließlich die administrativen Accounts liegen. Eigentlich ist das auch nur so sinnvoll. Denn eine produktive Root-Domäne wirft das Konzept doch irgendwie über den Haufen. ;) Zumindest kann man ihn beispielsweise nicht so einfach Sperren (Stichwort: Account Lockout). Ich bin mir wie gesagt nicht ganz sicher. Auf jeden Fall kann er so konfiguriert werden, dass er gesperrt werden kann. Das betrifft allerdings nie die Interactive Anmeldung. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. August 2008 Melden Teilen Geschrieben 28. August 2008 Hi Norbert, Eigentlich ist das auch nur so sinnvoll. Denn eine produktive Root-Domäne wirft das Konzept doch irgendwie über den Haufen. ;) Da hast Du Recht. Jedoch leisten sich meist nur größere Unternehmen diesen "Luxus". :wink2: Ich bin mir wie gesagt nicht ganz sicher. Auf jeden Fall kann er so konfiguriert werden, dass er gesperrt werden kann. Das betrifft allerdings nie die Interactive Anmeldung. Off-Topic:Streift zwar den anderen Thread - aber mir wäre das wie gesagt neu. Wenn Du zu dem "Remote-Zugriff kann ersten Administrator Account sperren"-Thema noch etwas finden würdest, würde mich das sehr interessieren. Ich konnte jedenfalls nichts dazu finden und habe es daher gerade noch einmal getestet: Zumindest standardmäßig wird der Account nicht gesperrt. Wie gesagt gab es unter Windows 2000 dafür ein Programm, welches diese Sperre aufhob. Aber ich habe später nie wieder etwas davon gehört. Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 28. August 2008 Melden Teilen Geschrieben 28. August 2008 Da hast Du Recht. Jedoch leisten sich meist nur größere Unternehmen diesen "Luxus". :wink2: Kleinere Unternehmen sollten auch den Luxus einer single domain nutzen. ;) Off-Topic:Streift zwar den anderen Thread - aber mir wäre das wie gesagt neu. Wenn Du zu dem "Remote-Zugriff kann ersten Administrator Account sperren"-Thema noch etwas finden würdest, würde mich das sehr interessieren. Ich konnte jedenfalls nichts dazu finden und habe es daher gerade noch einmal getestet: Zumindest standardmäßig wird der Account nicht gesperrt. Wie gesagt gab es unter Windows 2000 dafür ein Programm, welches diese Sperre aufhob. Aber ich habe später nie wieder etwas davon gehört. Debunking two myths about the Windows administrator account Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. August 2008 Melden Teilen Geschrieben 28. August 2008 Hi Norbert, ok - es ist also wie bereits vermutet: Standardmäßig ist der Account auch bei einem Remote-Zugriff nicht zu sperren, sondern dieses Verhalten muß "nachgerüstet" werden. "Passprop.exe" war also der Name des Programmes - an diesen konnte ich mich nicht mehr erinnern. Meiner Meinung nach ist das aber eher nicht zu empfehlen, da man sich damit vollkommen aussperren kann. Wahrscheinlich ist diese Einstellung daher auch nicht Standardeinstellung. Aber ein interessanter Satz zu dem Programm steht hier: Warning: In Windows Server 2003, passprop will allow the built-in administrator account to get locked out from interactive logons as well as remote logons. Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 28. August 2008 Melden Teilen Geschrieben 28. August 2008 Hi Norbert, ok - es ist also wie bereits vermutet: Standardmäßig ist der Account auch bei einem Remote-Zugriff nicht zu sperren, sondern dieses Verhalten muß "nachgerüstet" werden. Jupp ich sagte ja auch immer, dass ich mir nicht ganz sicher bin. Meiner Meinung nach ist das aber eher nicht zu empfehlen, da man sich damit vollkommen aussperren kann. Wahrscheinlich ist diese Einstellung daher auch nicht Standardeinstellung. Aber ein interessanter Satz zu dem Programm steht hier: Steht aber auch in dem von mir geposteten Link und dazu steht noch der nachfolgende Satz. ;) However, keep in mind that the Windows Server 2003 version of this utility will also lock out the default administrator account (both network and interactive) after x number of failed logons. Make sure you have a backup method for unlocking this account Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.