BigRalf3344 0 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 Hi FansDas wäre meine Frage:Domänen-Admins daran hindern sich an bestimmten DomainControllern anzumelden.Windows 2012 Domäne, wie könnte man das am elegantesten umsetzen? Es darf natürlich nicht in Arbeit ausarten Danke und Herzliche GrüsseRalf Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 Hallo und willkommen im Forum. Ein Domain-Admin hat alle Rechte oder kann sie sich verschaffen. Geht also nicht. -Zahni Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 Was ist das Ziel? Wieso soll ein Dom-Admin nur auf bestimmten DC's anmelden dürfen und an anderen nicht? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 (bearbeitet) Moin eine Anmeldung geschieht an der Domäne, das macht ein DC als Anmeldeserver. Welcher DC die Anmeldung abarbeitet, das ist wohl von einigen Faktoren abhängig und zufällig. Es scheint wohl eine Möglichkeit der Voreinstellung für eine Bevorzugung zu geben, Stichworte in Erinnerung preferred Server oder preferred DC. Geht es eigentlich um eine Anmeldung oder um einen Zugriff auf einen DC? Falls ja, worauf Zugriff? bearbeitet 12. Dezember 2017 von lefg Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 Geht es eigentlich um eine Anmeldung oder um einen Zugriff auf einen DC? Falls ja, worauf Zugriff? Es klingt für mich eher so, als ob die lokale Anmeldung verhindert werden soll. Interessant ist die Frage was der BigRalf3344 damit erreichen möchte. Die Frage wurde ja schon gestellt, also sollten wir die Antwort abwarten. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 Moin, Domänen-Admins daran hindern sich an bestimmten DomainControllern anzumelden. die kurze Antwort ist: Geht nicht. Prinzipbedingt. Gruß, Nils Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 12. Dezember 2017 Melden Teilen Geschrieben 12. Dezember 2017 Den Nutzern die nicht auf die DCs sollen keine Domänenadminrechte geben. Zitieren Link zu diesem Kommentar
BigRalf3344 0 Geschrieben 17. Dezember 2019 Autor Melden Teilen Geschrieben 17. Dezember 2019 (bearbeitet) Ihr habt alle nur BS geschrieben. Es geht aus Prinzip nicht? Von welchem Prinzip schreibst du? Richtige Antwort? Natürlich geht das mit einer Authentifizierungsrichtlinie und einem Authentifizierungsrichtliniensilo das eingerichtet werden muss!! Erläuterungen: Authentifizierungsrichtliniensilos und die zugehörigen Richtlinien stellen eine Möglichkeit dar, Anmeldeinformationen mit erhöhten Rechten auf Systeme zu beschränken, die nur für ausgewählte Benutzer, Computer oder Dienste relevant sind. Silos können mit dem Active Directory-Verwaltungscenter und den Active Directory Windows PowerShell-Cmdlets in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) definiert und verwaltet werden. Authentifizierungsrichtliniensilos sind Container, denen Administratoren Benutzerkonten, Computerkonten und Dienstkonten zuweisen können. Über die Authentifizierungsrichtlinien, die auf diesen Container angewendet werden, können dann Gruppen von Konten verwaltet werden. Daher muss der Administrator nicht mehr im gleichen Umfang wie bisher den Ressourcenzugriff einzelner Konten verfolgen, und es wird verhindert, dass böswillige Benutzer durch den Diebstahl von Anmeldeinformationen Zugriff auf andere Ressourcen erlangen. Mit Funktionen, die in Windows Server 2012 R2 eingeführt wurden, können Sie Authentifizierungsrichtliniensilos erstellen, die eine Gruppe von Benutzern mit erhöhten Rechten beherbergen. Sie können diesem Container Authentifizierungsrichtlinien zuordnen, um die Verwendung privilegierter Konten in der Domäne zu begrenzen. Wenn Konten zur Sicherheitsgruppe "Geschützte Benutzer" gehören, werden zusätzliche Kontrollmechanismen angewendet, z. B. die exklusive Verwendung des Kerberos-Protokolls. Damit können Sie die Nutzung hochwertiger Konten auf hochwertige Hosts begrenzen. Beispielsweise könnten Sie ein neues Silo für Administratoren der Gesamtstruktur erstellen, das Unternehmens-, Schema- und Domänenadministratoren enthält. Anschließend könnten Sie das Silo mit einer Authentifizierungsrichtlinie konfigurieren, sodass eine kennwort- und smartcard-basierte Authentifizierung von Systemen, die keine Domänencontroller oder Domänenadministratorkonsolen sind, fehlschlägt. Am 12.12.2017 um 17:37 schrieb NilsK: Moin, die kurze Antwort ist: Geht nicht. Prinzipbedingt. Gruß, Nils Prinzipbedingt nicht? Was den für ein Prinzip? Nils du enttäuschst mich sehr! Am 12.12.2017 um 13:19 schrieb zahni: Hallo und willkommen im Forum. Ein Domain-Admin hat alle Rechte oder kann sie sich verschaffen. Geht also nicht. -Zahni Zahni deine Antwort ist total falsch. Wie soll der sich die Rechte "verschaffen" wenn er keine Rechte dazu hat? bearbeitet 17. Dezember 2019 von BigRalf3344 Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 17. Dezember 2019 Melden Teilen Geschrieben 17. Dezember 2019 Wenn du es weisst warum fragst du dann? Authentication Silos wurden erst mit 2012R2 eingeführt. Du schreibst aber 2012 Domäne, das ist ein Unterschied. Wenn du schon den MS hast hast, lies ihn bitte auch bis zum Ende. Dann siehst du auch, wen und was du dort einschränken kannst. Zitieren Link zu diesem Kommentar
BigRalf3344 0 Geschrieben 17. Dezember 2019 Autor Melden Teilen Geschrieben 17. Dezember 2019 vor 2 Minuten schrieb tesso: Wenn du es weisst warum fragst du dann? Authentication Silos wurden erst mit 2012R2 eingeführt. Du schreibst aber 2012 Domäne, das ist ein Unterschied. Wenn du schon den MS hast hast, lies ihn bitte auch bis zum Ende. Dann siehst du auch, wen und was du dort einschränken kannst. wie du evtl. vom datum meiner frage siehst war das 2017 und jetzt ist es 2019 mein lieber. vielleicht habe ich es damals nicht gewusst und weiss es nun besser und teile mein wissen? Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 17. Dezember 2019 Melden Teilen Geschrieben 17. Dezember 2019 Da habe ich nichts aufs Datum geschaut. Nur auf deinen Kommentar, der wenige MInuten alt war. Ein Domainadmin bleibt ein Domainadmin. Was denskt du, wer die Silos verwaltet? Zitieren Link zu diesem Kommentar
BigRalf3344 0 Geschrieben 17. Dezember 2019 Autor Melden Teilen Geschrieben 17. Dezember 2019 vor 1 Minute schrieb tesso: Da habe ich nichts aufs Datum geschaut. Nur auf deinen Kommentar, der wenige MInuten alt war. Ein Domainadmin bleibt ein Domainadmin. Was denskt du, wer die Silos verwaltet? Nur die berechtigten Konten, lies evtl. in ruhe meine Erläuterungen dazu nochmal durch. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 17. Dezember 2019 Melden Teilen Geschrieben 17. Dezember 2019 Deine Erläuterung sind die ersten Zeilen der Seite von Microsoft. Ich bin raus. Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 17. Dezember 2019 Melden Teilen Geschrieben 17. Dezember 2019 vor 23 Minuten schrieb BigRalf3344: Prinzipbedingt nicht? Was den für ein Prinzip? Nils du enttäuschst mich sehr! vor 23 Minuten schrieb BigRalf3344: Zahni deine Antwort ist total falsch. Wie soll der sich die Rechte "verschaffen" wenn er keine Rechte dazu hat? Was ist daran falsch? Die Silos werden in der AD Datenbank gespeichert, welche wiederrum mit den anderen DCs repliziert wird. Der Domain-Admin ist immer auf ALLEN DCs auch Mitglied der lokalen Administrator Gruppe. Also ja, ist prinzip bedingt. Ob man sich das System umbiegen kann, wer weis. Ob das jemals irgendwer empfehlen würde bzw. nötig für deine Anforderung ist, ich denke nicht. Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 17. Dezember 2019 Melden Teilen Geschrieben 17. Dezember 2019 Das alte Missverständnis - hier besonders zelebriert You cannot restrict administrators, even if it looks as if you can. The purpose of administrators is "administrator". If you don't trust them, get rid of them. Anders formuliert: Egal welche Art von Restriktionen Du mit welchen Mitteln auch immer einem Adminstrator auferlegst, er wird immer in der Lage sein, sich dessen zu entledigen. ym2c... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.