spalato 10 Geschrieben 8. März 2013 Melden Teilen Geschrieben 8. März 2013 Hallo Zusammen, Wir haben eine Aussenstelle in Amerika und dort haben wir einen "IT supporter". Der hat eigentlich keine Ahnung und macht es nur "nebenbei". Nun haben wir auf dem DC in Amerika eine Applikation die durch ihn betreut wird. Meine Anforderungen: Supporter 1 muss: - Local admin auf dem DC sein. Er muss also Software installieren und deinstallieren können. - den Server neu starten können. (dies kann einach gelöst werden dass wir den power knopf als shutdown definieren) - Darf nur seine OU auf dem DC bearbeiten können. (da kann ich eine Delegation machen) Aber Welche möglichkeiten habe ich da? Vielen Dank Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 8. März 2013 Melden Teilen Geschrieben 8. März 2013 Supporter 1 muss: - Local admin auf dem DC sein. Er muss also Software installieren und deinstallieren können. Hi, dazu muss der Benutzer der Gruppe Domain Admins oder Enterprise Admins angehören. Um aber Änderungen im AD zu verweigern, kann man folgenden Trick anwenden: http://oreilly.com/pub/h/1172 Ich würde eher einen RODC in die Außenstelle stellen und dort kannst du dann dem Supporter ganz normal lokale Adminrechte geben, ohne das er das AD lahm legt. Denn der Workaround in dem Link ist halt ein Workaround. Ich würde es jedenfalls nicht so machen. Zitieren Link zu diesem Kommentar
NilsK 2.912 Geschrieben 8. März 2013 Melden Teilen Geschrieben 8. März 2013 Moin, um es klar zu sagen: Wer lokale Adminrechte auf einem DC hat, ist Admin auf allen DCs und damit auch in der Lage, das gesamte AD zu verändern oder zu zerstören. Der "Trick" in dem Link ist, wie schon der erste Kommentar von AD-Guru Joe Richards völlig richtig klarstellt, nicht geeignet, irgendeinen Grad von Sicherheit herzustellen. Stattdessen ist er gut geeignet, das AD zu zerstören. NICHT TUN! (Sorry, Daniel ...) Abgesehen davon, ist ein DC ein DC. Man installiert dort keine weitere Software. Und nicht vertrauenswürdige Mitarbeiter haben auf einem DC nichts verloren. Installiert in Amerika einen weiteren Computer, wo die Software installiert wird. Das kostet keine 2000 Euro und ist der einzige sinnvolle Ansatz. Gruß, Nils Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 8. März 2013 Autor Melden Teilen Geschrieben 8. März 2013 (bearbeitet) das mit dem RODC ist mir bekannt. Leider war ich nicht der, der den DC dort installiert hat... :( Ist es nicht möglich einem user anmelderechte zu geben und dann lokal das recht software zu installieren? Nils, Das alles ist mir klar.... Ich hab das auch schon versucht durchzusetzten aber irgendwie will keiner auf mich hören :) :S Danke euch beiden... bearbeitet 8. März 2013 von spalato Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 8. März 2013 Melden Teilen Geschrieben 8. März 2013 Der "Trick" in dem Link ist, wie schon der erste Kommentar von AD-Guru Joe Richards völlig richtig klarstellt, nicht geeignet, irgendeinen Grad von Sicherheit herzustellen. Stattdessen ist er gut geeignet, das AD zu zerstören. NICHT TUN! (Sorry, Daniel ...) Kein Ding Nils. Habe es ja im selben Post wiederum auch entkräftet: Ich würde eher einen RODC in die Außenstelle stellen und dort kannst du dann dem Supporter ganz normal lokale Adminrechte geben, ohne das er das AD lahm legt. Denn der Workaround in dem Link ist halt ein Workaround. Ich würde es jedenfalls nicht so machen. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 8. März 2013 Melden Teilen Geschrieben 8. März 2013 Was für Software soll den installiert und deinstalliert werden? Wieso administrierst du den Server nicht von hier aus Remote? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 9. März 2013 Melden Teilen Geschrieben 9. März 2013 das mit dem RODC ist mir bekannt. Leider war ich nicht der, der den DC dort installiert hat... :( Ist es nicht möglich einem user anmelderechte zu geben und dann lokal das recht software zu installieren? Dann stufe doch einfach den DC herunter und mache einen RODC aus ihm. Vorher noch eine Gruppe für die RODC Administration im AD anlegen und dann beim Heraufstufen zum RODC die Verwaltung delegieren und fertig. Zitieren Link zu diesem Kommentar
NorbertFe 1.996 Geschrieben 9. März 2013 Melden Teilen Geschrieben 9. März 2013 (bearbeitet) das mit dem RODC ist mir bekannt. Leider war ich nicht der, der den DC dort installiert hat... :( Ist es nicht möglich einem user anmelderechte zu geben und dann lokal das recht software zu installieren? Es gibt kein Recht "software installieren". Wenn nur ein Server verfügbar ist, installier nen hyper v dann virtualisier den Dc und gib dem supporter vor Ort ne eigene vm für die software. Nils, Das alles ist mir klar.... Ich hab das auch schon versucht durchzusetzten aber irgendwie will keiner auf mich hören :) :S Dann mach's schriftlich und arbeite nicht mit "workarounds". Bye Norbert bearbeitet 9. März 2013 von NorbertFe Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. März 2013 Melden Teilen Geschrieben 9. März 2013 (bearbeitet) Hallo, zum Installieren der Software auf den Clients kann der User in die Gruppe der Administratoren auf den Clients hinzugefügt werden, das ist möglich per Hand oder GPO Eingeschränkte Gruppen auf die OU mit den Clients. bearbeitet 9. März 2013 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.912 Geschrieben 9. März 2013 Melden Teilen Geschrieben 9. März 2013 Moin, Dann stufe doch einfach den DC herunter und mache einen RODC aus ihm. Vorher noch eine Gruppe für die RODC Administration im AD anlegen und dann beim Heraufstufen zum RODC die Verwaltung delegieren und fertig. nee, ganz so einfach ist es nicht. Für einen RODC muss man einiges planen und einrichten. Ich sag nur: Computerkennwörter, Userkennwörter, dynamisches DNS ... Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.