Blase 15 Geschrieben 2. Dezember 2015 Melden Teilen Geschrieben 2. Dezember 2015 Mal eine Frage in die Runde nach "best practice" oder schlichtweg Erfahrungswerten und Meinungen. Wir haben hier eine Domäne und außer dem Geschäftsführer und mir kennt niemand das Kennwort des Domain Administrators. Sonstige administrativen Benutzer gibt es (zur Zeit) nicht. Der Rest sind "normale" AD Benutzer. In der technischen Abteilung gibt es durchaus den einen oder anderen, der mal an diesem oder jenen Server Dinge konfigurieren muss (und auch eigenverantwortlich macht). Hierfür melde ich mich beispielsweise auf dem betroffenen Server dann als Dom Admin an und der Kollege macht dann, was auch immer er dort machen muss. Dieses "Konstrukt" soll nun etwas abgeändert werden. Konkret sollen die Benutzer Zugriff auf bestimmte Server bekommen und dort dann "administrativ" schalten und walten können. Wie löst ihr das, bzw. wie löse ich das am Besten? Erweitere ich die Rechte der betroffenen AD Benutzer einfach um das Recht, auf Server X,Y,Z Vollzugriff auszuüben? Wenn ja, wie? Einfach lokal auf dem betroffenen Server den Benutzer zur Gruppe der lokalen Administratoren hinzufügen? Oder lege ich hierfür einen eigenen Benutzer im AD an, der eben Vollzugriff auf den betroffenem Server hat, aber darüber hinaus nichts darf? Oder arbeite ich hier mit lokalen Admin Konten auf den betroffenen Servern? Bin an Meinungen/Anregungen interessiert... MfG Björn Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 2. Dezember 2015 Melden Teilen Geschrieben 2. Dezember 2015 Hi, so ganz grob: Built-In Domänen Admin bekommt komplexes, langes Kennwort und wird nicht zum administrieren genutzt. Kennwort kommt in den Safe. Ein administrative Account wird erstellt und kommt in die Domänen-Admins und wird nur zur Administration des DCs genutzt. Die User bekommen z.B. einen adm_User Account, welcher auf den vom User zu verwaltenden Servern lokale Adminrechte haben. Bei Applikationen die Schemaeweiterungen installieren / oder Änderungen am AD vornehmen / o.ä., müsste entschieden werden, ob die adm_User diese Rechte bekommen oder in Rücksprache mit einem entsprechenden Domänen-Admin gemaht werden. Gruß Jan Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 2. Dezember 2015 Melden Teilen Geschrieben 2. Dezember 2015 Hi, du könntest dir mal LAPS ansehen https://www.microsoft.com/en-us/download/details.aspx?id=46899 btw: Du solltest dich niemals mit einem DomainAdmin auf einer unsicheren Maschine anmelden. Jeder lokale Admin auf dieser Maschine kann dein PW in Sekunden auslesen, auch wenn du schon längst wieder abgemeldet bist. blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.