Alith Anar 40 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 Hallo, ich bin gerade etwas ratlos. Ich habe mehrere Admin Benutzer bei uns in der Domain. Alle sind Mitglied der Gruppe der Domain Administratoren. Diese Domain Administratoren haben zugriffsberechtigung auf die komplette Fileablage (Vollzugriff). Wenn einer der Administratoren jetzt auf dem Fileserver auf eine Ordnerstruktur zugreifen möchte, meldet Windows, das der BEnutzer erst zur Berechtigung hinzugefügt werden muss. Wenn man die MEldung bestätigt wird der BEnutzer neu hinzugefügt und in den Sicherheitseinstellungen ist neben den Domain Adminstratoren auc hder jeweilige Admin Account eingetragen. IMHO sollte das doch aber nicht geschehen. Wo kann ich nach der URsache suchen? Danke THomas Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 UAC. ;) So einfach kanns sein. Und nein die Handhabung die ihr da fahrt ist nicht sinnvoll in meinen Augen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 (bearbeitet) Moin, die User sollten Mitglied der Gruppe sein, die Zugriff auf die Datenablage hat, die auch in deren Access Control Lists eingetragen ist. Im einfachsten Fall ist das Gruppe Datenablage, diese in der ACL eingetragen. Und die Domänen-Admins haben damit nichts zu tun. Die Frage nach der Zweck zu Domänen-Admins stelle ich nicht, gebe auch keinen Rat dazu. bearbeitet 1. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 Na dann ist ja gut ;) Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 1. Dezember 2016 Autor Melden Teilen Geschrieben 1. Dezember 2016 Dann frag ich (lerne ja gerne mal was dazu) :-)Warum ist es nicht sinnvoll und wie soll es besser laufen? Wir haben hier 5 Admins, die jeder mit eigenem Adminaccount arbeiten soll. Jeder muss alles in der Domain machen können. Also ist jeder Domain Admin, die wiederum Mitglied in der Gruppe der Administratoren drin sind, die wiederum standardmässig bei der Verzeichnisstruktur mit für die einzelnen Ordner berechtigt sind. Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 Dann nimm einen anderen filemanager. Nils hat das auf FAQ-o-Matic gut beschrieben. Der Explorer ist dafür "lokal" nicht geeignet. Also entweder anderes Tool oder eben per unc zugreifen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 (bearbeitet) Ich frag mal neugierig, was machen die Domänen-Admins da in der Dateiablage? Und die Domänen-Admins können auch noch anderen Sicherheitsgruppen angehören, z.B. der Sicherheitsgruppe Dateiablage. Hat denn die Sicherheitsgruppe Administratoren keinen Eintrag in die ACL der Dateiablage? bearbeitet 1. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Sind die MA denn auch an ihren normalen PCs als Domain Admins angemeldet? Wenn ja, überleg doch mal was im Fall von Locky dann passiert. Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 2. Dezember 2016 Autor Melden Teilen Geschrieben 2. Dezember 2016 Nein, sind Sie nicht. Deshalb ja die Admin-Benutzer (accounts) :-) @lefg: Arbeiten. Daten wiederherstellen, Berechtigungen anpassen Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Moin, warum diskutieren - es gibt doch was von Ra*iopharm! :D [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Sag ich doch schon die gaaaaaanze Zeit. :p Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Moin, Sag ich doch schon die gaaaaaanze Zeit. ja, aber auf dich hört ja keiner. :D Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Ja wie immer :p Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Überleg mal, was passiert, wenn ein Domain Admin am Server auf eine Locky.exe ohne UAC klickt. Abgesehen davon, ein DomainAdmin-Account soll sich bitte nur auf DCs lokal (bzw. mit RDP) anmelden, sonst nirgends. Ein DomainAdmin-Account kann alles, aber er soll außer zur eigentlichen Domänen-Administration am DC (z.B. Domain GPOs bearbeiten) zu nichts Anderem genutzt werden. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 9. Dezember 2016 Melden Teilen Geschrieben 9. Dezember 2016 Und wenn den TO das interessiert, werfe ich mal Tier0/1/2 in den Raum :-) https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access Wie Blub schon schreibt: Ein Domain Admin macht genau das - er administriert die Domäne und sonst nichts. Das ist NICHT identisch mit dem AD oder GPOs oder Fileservern, das kann man alles ganz easy delegieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.