Administrator Rolle ohne Gruppe Administrator

[eblok2001 10]

Hallo Leute, habe ein schwieriges Problem .

 

Ich brauche auf meinem Domainencontroller ( W 2K Domäne )

einen Nutzeraccount der alle Rechte hat und alles

darf .....

aber jetzt kommt das Problem !!

Er darf nicht Mitglied der Grupper Administratoren sein .

 

Der Grund ist das Programm DAVID XL von Tobit das alle Mitglieder der Administrator-Grupper immer als ein User behandelt.

 

Hat jemand ein How To oder ein ähnliches Problem schon mal gelöst ???

 

Christian

 

Bitte antworten auch an

C-Kolbe@t-online.de

[grizzly999 11]

.... der alles darf und alle Rechte hat aber kein Administrator sein darf. Wie soll das gehen. Einer der in einem Windows System alles darf und alles kann, der gehört zu den Administratoren. Und falls je nicht, dann kann sich dort hinzufügen (war ja die Anforderung: darf alles, kann alles, hat alle Rechte). Ist übrigens bei

anderen Betriebssystemen wie UNIX oder Novell auch nicht anders.

 

Von daher gibt es für dieses Paradoxon keine Lösung.

 

grizzly999

[eblok2001 10]

Sorry diese Fragestellung ist für die meisten

wahrscheinlich zu **** ... Das Problem tritt auch nur in Zusammenhang mit dem TOBIT System auf .

 

Ich erklähre es kurz .. vielleicht kannst du ja helfen !!

 

Wenn man Mitglied der Gruppe Administratoren ist dann

zeigt Tobit immer nur den Posteingang und die Ordner des Administrators an egal welcher Accont es eigentlich ist .

Die ganze Sache ist kein Sicherheitsproblem !!!

Es geht nur darum ob man einen Nutzer mit allen Rechten ausstattem kann die ein Administrator hat ohne Ihn in diese Grupper aufzunehmen.

Ich habe eine Nutzer der sich über VPN auf dem Server einwählt und der auch dort Software und Treiber installieren muss...

es geht aber nur ( bis jetzt ) wenn dieser Nutzer Mitglied der Gruppe Administratoren ist . Dann funktioniert alles aber der

Nutzer kann mit seinem Tobit System nicht ordentlich arbeiten

 

Daher frage ich hier nach einem Workaround oder ob jemand schon mal so ein Problem hatte.

 

Christian

[Roi Danton 10]

Moin eblok2001,

 

also man kann Teile der Administration schon delegieren.

Aber das wird Dir nicht helfen.

Probier doch mal eine globale Gruppe zu erstellen, wo Du Deine Admins reinpackst und dann diese Gruppe in die Grupe der Dom-Admins.

Vielleicht merkt das die Tobit box nicht.

 

Ansonsten hätte ich noch was zu meckern.

Ich finde es eine Unart mit einem Dom-Admin Konto zu arbeiten.

JEDER sollte ein Nutzerkonto haben und zum Administrieren ein anderes Konto benutzen.

Ab W2k kann jedes Tool mit "Ausführen als..." als anderer Nutzer gestartet werden. Ist also wirklich nicht notwendig und erfordert keine Neuanmeldung.

Gerade diese Unart ist in einer Domäne das größte Sicherheitsproblem.

Alle schreien immer wie unsicher Windows ist...

Kein Wunder wenn alle als Admin drin sind und damit Tag und Nacht arbeiten.

Ein Angreifer kann sich nichts besseres wünschen.

 

Gruß,

 

Roi Danton

[eblok2001 10]

das mit den Gruppen verschachteln habe ich schon

getestet .. Tobit merkt das

sobald der User Mitglied einer Gruppe ist ( und diese wieder

Mitglied der Domänen-Admins )

dann funktioniert die Sache nicht .

Man könnte testweise mal 4 oder 5 Gruppen jeweils als Kette

verbinden... vielleicht ist Tobit dann nicht mehr in der

Lage die Mitgliedschaft auszulesen ....

 

Man bräuchte mal einen richtigen Spezi der genau

weiß wordurch Tobit feststellt das der User direkt oder

über andere Gruppenmitgliedschaften ein

Administrator ist .

 

Tobit selber sagt zu dem Thema leider nichts.

 

Christian

 

PS:

Ich habe auch schon in anderen Newsgroups gepostet

die allgemeine Meinung war es geht nicht .

Man kann zwar an vielen Berechtigungen drehen aber

am Ende fragt Windows intern ob er Mitglied der Gruppe Domänen -Admins ist und wenn nicht dann ist schluss mit lustig ....

[blub 115]

Hi,

Man bräuchte mal einen richtigen Spezi der genau

weiß wordurch Tobit feststellt das der User direkt oder

über andere Gruppenmitgliedschaften ein

Administrator ist.

 

Ist vermutlich recht einfach. Wenn Tobit Berechtigungen feststellt, macht er das wahrscheinlich über ldap-abfragen.

Wenn du einen Netzwerkmonitor einschaltest, kannst du den Netzverkehr zwischen Client und DC mittracen. Im Trace musst du nur noch den LDAP-Query finden.

Wenn er es über GruppenSIDs macht, funktionierts aber leider nicht. Dann hilft auch kein Verschachteln.

 

cu

blub

[Roi Danton 10]

Original geschrieben von eblok2001

Man bräuchte mal einen richtigen Spezi der genau

weiß wordurch Tobit feststellt das der User direkt oder

über andere Gruppenmitgliedschaften ein

Administrator ist .

Gibt es denn kein Tobit Forum oder Mailingliste ?

 

Weil wie Dir schon andere Foren bestätigt haben und hier auch (posting grizzly999) einen Nutzer so auf zu bohren, ist nicht möglich.

 

Gruß,

 

Roi Danton

[eblok2001 10]

im Tobit Forum gibt es auch keine Hilfe

es finden sich dort alle mit dem IST zustand ab.

 

Ich dachte das hier in der NG schon irgendwann mal jemand vor dem gleichen Problem gestanden hat .

 

Ich glaube wir können diesen Thread schließen ...

Grizzly hat gesagt es geht nicht und bei seiner Erfahrung kann man dann nur zustimmen.

 

Christian

 

PS : Es ist nicht so das ich es nicht versucht habe, da stecken schon min. 8 h Arbeit in dem Problem.

Ich wollte mich über Weihnachten mal intensiv damit beschäftigen, wir haben das Problem schon seit Jahren und bisher war immer die Aussage ....

Wenn er Mitglied der Domänen-Admins

ist dann funzt Tobit nicht ... wenn er nicht Mitglied der Domänen-Admins ist dann hat er nicht genug Rechte auf der Maschine.

BASTA

 

Ich wollte mich einafch nicht mit diesem "Basta" abfinden .