Remotedesktop Verbidnung auf einen DC ohne Domänenadministrator Berechtigung

[v-rtc 92]

Hallo zusammen,

 

ich hab mal eine Frage, vielleicht hat dies ja der ein oder andere schon mal machen müssen.

Gibt es eine Möglichkeit Remotedesktop auf einen DC zu machen, ohne Domänenadministrator Berechtigung? Falls ja, wie habt Ihr das gelöst?

 

Ich hab zwar in den GPOs einen Eintrag gefunden, allerdings wenn man diesen ändert, bekommt man den ursprünglichen Zustand nicht mehr her, bzw. kann den nicht mehr richtig anpassen.

Vielen Dank vorab.

Grüße

[Dukel 461]

Wieso will man auf einen DC ohne Dom-Admin Rechte?

[v-rtc 92]

Um z.B. nur Patches zu installieren...

[NilsK 2.982]

Moin,

 

wer administrative Rechte auf einem DC hat, hat diese auf jedem DC. Er ist dann nicht Domänen-Admin, kann sich aber zum Domänen-Admin machen. Ergo: Faktisch nicht umsetzbar.

 

Gruß, Nils

[v-rtc 92]

Das ist schade, dachte gibt evtl. über die GPO lokale Anmeldung zulassen einen Workaround.

 

Grund war, wir wollten User haben, die keine Domänenadmins sind, aber trotzdem relativ befreit administrieren können. Bis zur Anmeldung am DC hat das bisher auch gut funktioniert.

[NilsK 2.982]

Moin,

 

dazu müsstet ihr definieren, was denn "relativ befreit administrieren" heißt. Wenn jemand Software bzw. Updates installieren können soll, dann muss er Administrator sein. Ein Administrator ist ein Administrator und kann das ganze System und alle seine Komponenten manipulieren.

 

Viele Kunden sind der Ansicht, dass es sich als Domänen-Admin durchaus "relativ befreit administrieren" lässt. Wenn ihr euch darunter anderes vorstellt, werdet ihr das definieren und dann ggf. ein bisschen mehr Arbeit aufwenden müssen.

 

Man könnte sich ja z.B. die Frage stellen, warum sich denn jemand lokal anmelden muss, um Updates zu installieren. Es gibt da andere Möglichkeiten, wenn man sie braucht.

 

Gruß, Nils

[v-rtc 92]

Hallo,

 

also Ziel war wirklich nur das einspielen von Updates. Ansonsten brauch man den DC ja in der Regel nicht.

 

Meinst Du dann Updates automatisch einspielen, oder was ganz anderes?

Vielen Dank.

Grüße

[lefg 276]

Moin

 

Schaue Erweiterte Systemeinstellungen, Remote, Remotedesktop

bearbeitet 17. November 2017 von lefg

[Nobbyaushb 1.517]

Moin,

auf einem DC gibt es keine lokalen Konten.

 

Und ich würde NIEMALS einem Nicht-Dom-Admin RDP auf einem DC zulassen.

 

Just my2Cents....

 

:rolleyes:

[DocData 85]

GPO für WSUS bauen. Updates automatisch installieren und neustarten lassen. Es sind DCs, da fällt es nicht auf, wenn man einer neustartet.

[Sunny61 820]

Oder den WPP auf dem WSUS installieren, bzw. entpacken, darüber kann dann auch der User die Updates auf dem jeweiligen PC/Server installieren lassen.

 

Powershell, psexec und so weiter.

[v-rtc 92]

Moin

 

Schaue Erweiterte Systemeinstellungen, Remote, Remotedesktop

Guten Morgen zusammen,

 

das wäre in meinem Fall die Lösung. Allerdings muss man die Gruppen sorgfältig auswählen, da diese Einstellungen nicht mehr so leicht rückgängig gemacht werden können.

 

Ich weiß, dass die Anforderung etwas ungewöhnlich ist...

 

Grüße

bearbeitet 8. Dezember 2017 von RolfW

[NorbertFe 2.177]

Guten Morgen zusammen,

 

das wäre in meinem Fall die Lösung. Allerdings muss man die Gruppen sorgfältig auswählen, da diese Einstellungen nicht mehr so leicht rückgängig gemacht werden können.

Häh? Wo ist der Unterschied, ob ein "nicht gewollter Dom-Admin"-Admin per COnsole oder per RDP angemeldet wird? Er kann in beiden Fällen alles.

 

Ich weiß, dass die Anforderung etwas ungewöhnlich ist...

Wie du anhand dieses Threads siehst, ist sie weder ungewöhnlich, noch sinnvoll lösbar. Die sinnvollen Vorschläge oben ignorierst du ja geflissentlich.

 

Bye

Norbert

[v-rtc 92]

Hallo Norbert,

 

das ist schon richtig, der Unterschied ist, dass der andere kein Domänenadmin wäre. So wäre unser Ziel.

 

Ich ignoriere die Vorschläge nicht, ich kann mich nur noch nicht richtig anfreunden damit.

 

Vielen Dank alle.

 

Grüße

[NorbertFe 2.177]

Wenn man sich auf einem Dc anmeldet ist man schon so gut wie domänenadmin. Auch wenn du das nicht wahrhaben möchtest.