Axelino 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hallo, unser Server-Administrator ist ja auch ein Benutzer im Netzwerk. Leider hat der Administrator-Account die Eigenschaft, dass man beliebig oft versuchen kann, sich anzumelden. Daher meine Frage: Kann man irgendwo einstellen, dass der Administrator sich nur über ganz bestimmte workstations oder direkt am Server anmelden darf? Und wie? Falls ja: würde das dann auch die Anmeldung über den Terminaldiensteclient betreffen? Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hallo Axelino, die Frage kann man eindeutig mit JEIN beantworten. Der Administrator ist der Administrator. Natürlich kann man diesem auch Rechte entziehen, die er sich dann aber selbst wieder geben kann. Aber vor Versuchen dieser Art würde ich WARNEN. Es gab schon Beispiele hier im Forum, wo sich niemand mehr auf einem Server/DC lokal anmelden konnte. Das ist ein riesen Aufwand soetwas wieder Rückgängig zu machen. Der normale Weg ist einen Benutzer zu schaffen, der nur die Rechte erhält, die er zur Anmeldung/Administration benötigt. Zitieren Link zu diesem Kommentar
Axelino 10 Geschrieben 7. November 2003 Autor Melden Teilen Geschrieben 7. November 2003 Hmm...aber wenn ich 3-4 Stationen habe, von wo aus sich der Admin anmelden darf, dürfte doch eigentlich nix passieren können? Denn auch wenn ich einen neuen Benutzer anlege der admin sein soll: den Administrator-User gibts auf dem Server ja trotzdem noch. Wir hatten nämlich schon den Fall mit dem neuen User, das Problem ist, dass Serverinstallationen eigentlich immer mit dem Administrator-User durchgeführt werden sollten, denn manche Programme laufen sonst nicht richtig. Zitieren Link zu diesem Kommentar
spielkind675 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 hallo, Original geschrieben von Axelino Kann man irgendwo einstellen, dass der Administrator sich nur über ganz bestimmte workstations oder direkt am Server anmelden darf? Und wie? in den eigenschaften des users (unter account im ad) kann man unter "log on to" so ne beschränkung vornehmen, nur geht das nicht für das vordef. konto 'administrator'. man könnte die rechte "log on locally" und "deny logon locally" in der domain policy modifizieren, ähnlich die berechtigungen auf das rdp-protokoll... nur wird das den admin nicht aufhalten, das wieder rückgängig zu machen. ne frage: wieso arbeitet euer server-admin nicht mit nem personifizierten konto? das ist so n grobes sicherheitsproblem. gruß Zitieren Link zu diesem Kommentar
Axelino 10 Geschrieben 7. November 2003 Autor Melden Teilen Geschrieben 7. November 2003 Das personifizierte Admin-Konto gibts schon. Aber den Administrator-User eben auch noch. Was soll denn mit dem dann passieren, deaktivieren? Das gibt eben, wie gesagt, Probleme bei der Installation von Programmen auf dem Server. Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hallo spielkind675, ich Kommentiere nie postings anderer Forum Member. Aber ernsthaft hier den Vorschlag zu machen in der Domain Policy dem Administrator ein deny logon locally zu setzten finde ich sehr gewagt. Zitieren Link zu diesem Kommentar
spielkind675 10 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 hallo thorgood, du hast recht, sinn/unsinn sei dahingestellt. er wollte wissen, ob und was möglich wäre... gruß Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 7. November 2003 Melden Teilen Geschrieben 7. November 2003 Hier geht's weiter: http://www.mcseboard.de/showthread.php?s=&threadid=17332 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.