Jump to content

Benutzergruppe Domänen-Admin aus anderer Domäne

R_Mori

Von R_Mori
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

R_Mori Proficient

R_Mori   10

Geschrieben
Geschrieben

Hallo zusammen

Ich komme nicht weiter und hoffe auf einen guten Tipp:

Ich verwalte verschiedene Windows Domänen. Alle stehen in Vertrauensstellungen zueinander. Nun bin ich daran, ein Software-Deployment System aufzubauen, welches über alle Domänen hinweg gesteuert werden soll. Nun braue ich einen Admin, der überall Admin ist, um die Installationen auszuführen.

Mein Lösungsansatz:

Auf der Domäne A läuft das Programm. Ich erstellte einen speziellen Admin und fügte ihn der Gruppe Domänen-Administratoren bei.

Nun versuchte ich auf der Domäne B die Gruppe der Domänen-Administratoren der Domäne A in die eigene Gruppe der Domänen-Administratoren zu integrieren. Das geht nicht. Aus dieser Position sehe ich die Vertrauten Domänen gar nicht.

 

Wie muss ich da vorgehen? Ich könnte lokal, jedem Rechner die Domänen-Administratoren Gruppe der Domäne A hinzufügen. Das geht, ist aber eher umständlich. Hat da jemand eine andere Lösung?

 

Vielen Dank für die Tipps.

 

Grusse

 

r_mori

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.971

Geschrieben
Geschrieben

Moin,

 

Globale Gruppen können nur Mitglieder derselben Domäne aufnehmen. Du kannst dein Vorhaben so also gar nicht umsetzen.

 

Um Software zu installieren, brauchst du auch keinen Domänen-Admin! Das wäre viel zu riskant, denn der Installationsdienst soll bzw. darf ja nicht im AD herumändern.

 

Du könntest in jeder Domäne eine Domänenlokale Gruppe einrichten und in die lokalen Admin-Gruppen der Zielrechner aufnehmen. Das kannst du per GPO steuern. In diese Gruppe nimmst du dann den oder die Dienstuser auf.

 

Allgemein ist es keine gute Idee, denselben administrativen Account über große Bereiche des Netzwerks hinweg einzusetzen. Mindestens solltest du pro Domäne unterschiedliche Accounts definieren. Darüber hinaus solltest du prüfen, welche Möglichkeiten dein Deployment-Tool bietet, auf zentrale Accounts zu verzichten (z.B. Einrichten des Installations-Dienstes als "Local System" oder als "Network Service"). Sonst hat ein Angreifer, der den einen Account knackt, gleich das gesamte Netzwerk im Griff.

 

Gruß, Nils

Link zu diesem Kommentar
R_Mori Proficient

R_Mori   10

Geschrieben
  • Autor
Geschrieben

... vielen Dank für diesen Ansatz. Ich werde mir ein solches Szenario mal durchdenken und austesten.

 

Grüsse

r_mori

... da hätte ich schon die erste weitere Frage:

 

Ich habe in der GPO diesen Punkt zur Aufnahme von Gruppen zur lokalen Admin Gruppe nicht gefunden. Wo versteckt sich diese Richtlinie?

 

Vielen Dank für die Hilfe

 

r_mori

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...