morro 10 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Hallo zusammen, Es ist zur zeit so das jeder in der it abteilung domänen admin ist, und die meisten die sich auf dcs einloggen oder so den Domänen Administrator nutzen. Habe mir nun überlegt diesen zu deaktivieren und z.b mitarbeiter der it die z.b. nur benutzer bearbeiten in kontenoperatoren rein packe. So dass in prinzip der administrator deaktiviert wird oder ein "super" kennwort bekommt das nur einer kennt und das wir die gruppe domänen-admins leer machen!? Wobei ich noch nicht so ganz weiß ob das sinn macht. Da doch die domänen-admins auf z.b vollzugriff auf rechner in der domäne ...Desweiteren lässt es sich dann auch besser überwachen wer wie was abgeändert hat in der AD z.b. (was soweit ich was ja auch vom betriebsrat genehmigt werden muss) Was haltet Ihr davon, was habt ihr für erfahrungen(wie handhabt ihr das) und für tipps :-) Viele dank schonmal morro Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Es ist zur zeit so das jeder in der it abteilung domänen admin ist, und die meisten die sich auf dcs einloggen oder so den Domänen Administrator nutzen. :) Grins wer hat die OU gelöscht, die jetzt zur Aktion führt? Habe mir nun überlegt diesen zu deaktivieren Kennwort was nicht bekannt ist und im Tresor liegt ist sicherer. und z.b mitarbeiter der it die z.b. nur benutzer bearbeiten in kontenoperatoren rein packe. Schlechte Idee. Die Kontenoperatoren dürfen immer noch zu viel und sind ausserdem vom AdminSDHolder geschützt. bekommt das nur einer kennt und das wir die gruppe domänen-admins leer machen!? Die Domain Admins kannst du fast komplett leeren. Ich würde alles was da nicht per Default reingehört entfernen. Nur wird das in einer "gewachsenen" Struktur nicht mal so schnell gehen. [Quoe]Wobei ich noch nicht so ganz weiß ob das sinn macht. Da doch die domänen-admins auf z.b vollzugriff auf rechner in der domäne Na und? 1. Kann man da auch anderen Gruppen übertragen und zweitens solltest du dir die Frage stellen, warum ein Domänen-Admin (einer der das Active Directory administriert) automatisch Mitglied aller lokalen Administratoren deiner Domänenmember sein sollte. ...Desweiteren lässt es sich dann auch besser überwachen wer wie was abgeändert hat in der AD z.b. (was soweit ich was ja auch vom betriebsrat genehmigt werden muss) Sagen wir so, es läßt sich dann erst überhaupt über Überwachung nachdenken. Allerdings auch das nicht so, dass man sofort alles im Überblick hat. Was haltet Ihr davon, was habt ihr für erfahrungen(wie handhabt ihr das) und für tipps :-) Schau dir das Thema AD-Delegation an. Active Directory Aufgaben Delegation und alle anderen Artikel unterhalb von Objektdelegation sowie: Yusufs Directory Blog - Der Objektdelegierungsassistent Das gibt dir erstmal eine Starthilfe. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.938 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Moin, darauf kann man mit Fug und Recht antworten: "Kommt drauf an". Nur ein paar Splitter dazu: Grundsätzlich ist die Idee gut. Das organisatorische Konzept könnt ihr aber nur selbst machen. Statt den Dom-Admin zu deaktivieren, gibst du ihm ein neues starkes Kennwort. Die Gruppe "Kontenoperatoren" solltest du nicht nutzen und stattdessen passende Berechtigungen an eigens angelegte Gruppen delegieren. Gruß, Nils Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Servus, Was haltet Ihr davon, was habt ihr für erfahrungen(wie handhabt ihr das) und für tipps :-) KEIN Benutzer - auch nicht die IT-Mitarbeiter - darf und sollte permanent mit Domänen-Admin Rechten angemeldet sein. Nur wenn administrative Arbeiten durchzuführen sind, sollte man sich mit solch einem Konto anmelden oder die Funktion "Ausführen als" nutzen. Du hast doch im AD die Möglichkeit, Aufgaben im AD den entsprechenden Mitarbeitern zu delegieren. Dieses solltest du nutzen. Dem Domänen-Admin gibst du ein kryptisches und langes Kennwort. Entwerfe und implementiere ein für euch zugeschnittenes Delegierungs- und Rollenkonzept. Dabei ist der folgende Link (samt weiterführenden) hilfreich. Yusufs Directory Blog - Objektdelegierungen einrichten Edit// So gehört sich das Jungs, zusammen sind wir stark. ;) Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 17. Oktober 2008 Autor Melden Teilen Geschrieben 17. Oktober 2008 Danke Jungs. :-) ISt afujedenfall einiges an Arbeit und wie ich sehe auch gut durchdacht sein. Freu mich schon das umzusetzen :-) Hoffe kann mich bald mal mit euch messen :-) LG Morro Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 ISt afujedenfall einiges an Arbeit und wie ich sehe auch gut durchdacht sein. Ja natürlich muss es gut durchdacht sein. Aber das schwerste daran ist zum einen die Aufgaben genau zu definieren. Wer soll was können. Wenn dies einmal auf Papier gebracht wurde (eine Dokumentation ist dabei ein MUSS), ist die technische Umsetzung ein leichtes. Zum anderen kommt aber noch der Faktor "Mensch" hinzu. Hier muss der IT-Leiter bzw. die GF für das Konzept die nötige Rückenstärkung bringen. Denn ansonsten beschweren sich die IT-Mitarbeiter und akzeptieren solch einen Schritt nicht, der aber zwingend notwendig ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Danke Jungs. :-) ISt afujedenfall einiges an Arbeit Mit irgendwas muß man ja sein Geld verdienen. ;) und wie ich sehe auch gut durchdacht sein. Freu mich schon das umzusetzen :-) Wie Yusuf schon schrieb. Das Umsetzen ist das geringste Problem. (Auch da wirst du auf genügend Probleme stossen) Das Organisatorische ist viel komplexer. Hoffe kann mich bald mal mit euch messen :-) Schaun wir mal. :) Kannst uns hier ja auf dem Laufenden halten. Viel Erfolg Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.