UserAnon1 0 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Hallo zusammen, mich beschäftigt gerade folgende Frage: Ist es möglich einem Kreis von Usern lokal auf Servern Rechte zu geben, um User und Gruppen anzulegen, zu löschen und abzuändern - ohne, dass sie gleich lokale Administratoren (also Volladministratoren) sind? Meine Recherchen haben bislang ergeben, dass eine solche Einstellung leider nicht über das User Rights Assignment in der secpol möglich ist - Microsoft bietet eine solche Vergabe der Rechte im Standard offensichtlich nicht an. Habt ihr Ideen wie man das bewerkstelligen könnte? Danke und Gruß Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Moin, nein, das geht nicht. Lokale User und Gruppen kann nur ein lokaler Administrator anlegen. Was ist die Anforderung hinter dieser Anfrage? Gruß, Nils Zitieren Link zu diesem Kommentar
UserAnon1 0 Geschrieben 30. März 2015 Autor Melden Teilen Geschrieben 30. März 2015 Hi Nils, danke für die fixe Antwort! Hintergrund ist, dass die Administration der Server und das Doing der Berechtigungs- und Benutzerverwaltung organisatorisch getrennt sind. So soll die Benutzerverwaltung natürlich Benutzer auch lokal anlegen können, Gruppen pflegen usw.. Viel mehr aber eben auch nicht (bspw. Dienste stoppen, Logs löschen usw usw.). Hier soll eigentlich nach Möglichkeit das Need-to-know-Prinzip umgesetzt werden - sofern denn technisch umsetzbar - und dafür bräuchte man irgendwie eine Rolle, welche die administrativen Rechte eben auf das Administrieren von Benutzern und Gruppen lokal beschränkt. Schade dass MS da keine Lösung hat... Danke und Gruß Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Moin, und wozu lokale Konten? Da hat Microsoft aus gutem Grund keine Lösung. Lokale Konten haben so viele Nachteile, dass ich gar nicht die Aufzählung beginnen mag. Gruß, Nils Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Die Lösung die du suchst heisst Active Directory. Zitieren Link zu diesem Kommentar
UserAnon1 0 Geschrieben 30. März 2015 Autor Melden Teilen Geschrieben 30. März 2015 Moin, es existiert zentral eine Gruppe für Server-Administratoren, welche auf jedem Member-Server in der "Lokale Administratoren"-Gruppe Mitglied ist. Wenn aber nun beispielsweise temporär für eine Wartung ein User auf genau einem Server administrative Rechte bekommen soll, wird derjenige als lokaler Admin auf genau diesem Server aufgenommen. Hier also eine Aufnahme eines AD-Accounts in eine lokale Gruppe. Oder gibt es für ein solches Szenario gute, alternative Best-Practice Ansätze? Gruß Zitieren Link zu diesem Kommentar
XP-Fan 220 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Hallo, lies dir mal diesen Artikel durch. http://www.tecchannel.de/server/windows/460445/sicherheitsmanagement_im_active_directory/ Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Ja, gibt es zuhauf - "eingeschränkte Gruppen" wäre das Stichwort. Der User kommt in eine AD-Gruppe, die über Restricted Groups in die lokalen Admins aufgenommen wird. OT: Das ist Schnee von gestern - heute macht man das über Group Policy Preferences "Local Users and Groups" :) Da gehen dann so lustige Sachen wie Administrators - Mitglied "Domain\Server-%Computername%-Admins" Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 (bearbeitet) Ist es möglich einem Kreis von Usern lokal auf Servern Rechte zu geben, um User und Gruppen anzulegen, zu löschen und abzuändern - ohne, dass sie gleich lokale Administratoren (also Volladministratoren) sind? Hallo, User-Admin? Ein Admin ist ein Admin ist ein Admin. Ein User sollte kein Admin sein! Natürlich muss das jeder Verantwortungsträger selbst entscheiden. Er muss die Leute aussuchen und bewerten, sind diese vertrauenswürdig und verantwortungsvoll und qualifiziert. ich habe da im Hinterkopf den Begriff Operator, Gruppe der Konten-Operatoren. Weiter erinnere ich mich an Objektverwaltung. Ich sehe gerade den von XP-Fan verlinkten Artikel, darin gibt es die Begriffe Konten-Operatoren und Objektverwaltung. bearbeitet 30. März 2015 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 30. März 2015 Melden Teilen Geschrieben 30. März 2015 Moin, ich habe da im Hinterkopf den Begriff Operator, Gruppe der Konten-Operatoren. Weiter erinnere ich mich an Objektverwaltung. Ich sehe gerade den von XP-Fan verlinkten Artikel, darin gibt es die Begriffe Konten-Operatoren und Objektverwaltung. ganz falsche Baustelle. Da geht es um die Verwaltung von Konten im AD, nicht um das Zuweisen von Rechten an AD-Konten auf einem lokalen Rechner. Und selbst wenn: Die Konten-Operatoren verwendet man bitte nicht. Schon seit NT nicht mehr. Die vorgeschlagenen Wege, den Account in die lokale Admin-Gruppe aufzunehmen, sind die Lösung dazu. Also hat Microsoft sehr wohl was dafür ... man muss eben nur von Anfang an sagen, was man eigentlich will. Sonst doktorn alle an den Problemen der Lösung herum, statt eine Lösung für das Problem zu finden (wie ich oft und gern sage). Gruß, Nils Zitieren Link zu diesem Kommentar
HaikoH 1 Geschrieben 31. März 2015 Melden Teilen Geschrieben 31. März 2015 Um es hier noch einmal kurz aus meiner Sicht zusammenzufassen: - Hast du KEIN ActiveDirectory, dann muss ein User, um LOKALE Konten anlegen zu können auch LOKALER Admin sein, da geht kein Weg daran vorbei - Wenn du ein AD hast, dann kannst du Benutzern die Berechtigung delegieren, Konten anzulegen, zu verwalten und und und, und zwar ziemlich granular, sie müssen dazu also explizit NICHT Domänen-Admins sein - Wenn du einfach nur einen Benutzer des AD auf gewissen Workstations zu lokalen Admins machen willst geht das z.B. per GPO ("Eingeschränkte Gruppen") Hilft dir das weiter? Zitieren Link zu diesem Kommentar
UserAnon1 0 Geschrieben 31. März 2015 Autor Melden Teilen Geschrieben 31. März 2015 Hi zusammen, erstmal besten Dank an alle für die Unterstützung. Und auch danke für die gute Zusammenfassung - ich glaube ich habe jetzt eine gute Idee davon, was in der Microsoft-Welt möglich ist und was nicht. Eine kurze Frage noch zum Ende: Das Konzept mit den eingeschränkten Gruppen ist nicht schlecht. Bedeutet das aber nicht auch, dass ich zuvor eine separate GPO, wirksam für beispielsweise "Server-1234" , erstellen muss, damit "User A" oder "Usergruppe B" Mitglied der lokalen Administratorgruppe auf "Server-1234" per GPO wird? Ich kann die eingeschränkten Gruppen ja nicht in der Domain-GPO definieren - die würde User A ja auf allen Servern der Domäne berechtigen... Danke und Gruß! Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 31. März 2015 Melden Teilen Geschrieben 31. März 2015 Das Konzept mit den eingeschränkten Gruppen ist nicht schlecht. Bedeutet das aber nicht auch, dass ich zuvor eine separate GPO, wirksam für beispielsweise "Server-1234" , erstellen muss, damit "User A" oder "Usergruppe B" Mitglied der lokalen Administratorgruppe auf "Server-1234" per GPO wird? Deine Fragen sollten in diesem Artikel beantwortet werden: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ Ich kann die eingeschränkten Gruppen ja nicht in der Domain-GPO definieren - die würde User A ja auf allen Servern der Domäne berechtigen... In den beiden Default Domain GPOs solltest Du außer Passwortrichtlinien und SMB-Signing nichts verändern. Immer ein eigenes neues GPO dafür erzeugen. Zitieren Link zu diesem Kommentar
UserAnon1 0 Geschrieben 1. April 2015 Autor Melden Teilen Geschrieben 1. April 2015 Thema aus meiner Sicht erledigt - danke an alle! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.