marhal 0 Geschrieben 29. April 2019 Melden Teilen Geschrieben 29. April 2019 Hallo alle zusamme, ich habe mal eine Frage. Wenn ich einen Benutzer in der Domänen-Admins Gruppe stelle, hat er die gleichen Rechte wie der Domänen Administrator ? Oder wo muss ich noch Harken setzen damit das dem gleich kommt. Zweck ist das wir Personalisierte Accounts haben wollen. Ich habe nämlich ein unterschied gefunden wenn ich mit der Powershell get-aduser mustermann | ui gidnumber abfrage ist die bei den Benutzer den ich in der Gruppe habe leer. Mache ich es aber mit dem Domänen Administrator habe ich dort werte drin stehen. Ist das ein Bug ? Hat jemand vielleich sonst ein Literatur Link wo ich mehr über das Rollen Management lesen kann. Gruß Marcel Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 29. April 2019 Melden Teilen Geschrieben 29. April 2019 (bearbeitet) Hallo, das dürfte Interessant sein https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access Ist Euer Domänen Admin auch Forest Admin? Grüße bearbeitet 29. April 2019 von v-rtc Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. April 2019 Melden Teilen Geschrieben 29. April 2019 (bearbeitet) vor 38 Minuten schrieb marhal: hat er die gleichen Rechte wie der Domänen Administrator ? Nein er hat dann Domänen-Admin Rechte. Der Built-In Admin hat die -500 und damit ist fast auf allen Systemen die UAC aus. Vielleicht liegts ja daran. Bye Norbert PS: Das Ding heißt Haken, und definitiv nicht Hacken und erst Recht nicht Harken. :) bearbeitet 29. April 2019 von NorbertFe 1 1 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 29. April 2019 Melden Teilen Geschrieben 29. April 2019 Ich versteh schon die Frage nicht, denn: PS Y:\> get-aduser admin | ui gidnumber ui : Die Benennung "ui" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang. In Zeile:1 Zeichen:20 + get-aduser admin | ui gidnumber + ~~ Was soll "ui" für ein Alias sein? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 30. April 2019 Melden Teilen Geschrieben 30. April 2019 Moin, "gidnumber" deutet auf eine Linux-/Unix-Integration hin. Vielleicht kann @marhal mal genauer beschreiben, was eigentlich die Anforderung und die Umgebung ist. Gruß, Nils Zitieren Link zu diesem Kommentar
marhal 0 Geschrieben 30. April 2019 Autor Melden Teilen Geschrieben 30. April 2019 Morgen alle zusammen, gern kann ich noch mal das sagen. Wir kommen aus dem Linux bereich und übernehmen mit einem Powershell script die Attribute uid,gid etc und fügen sie einem ADuser hinzu. Mit dem Befehl get-aduser -property * | FL gidnumber,uidnumber,uid kann man sich die Attribute dann anzeigen lassen. Wie man sieht habe ich oben das -proberty * vergessen mit dem man zusätzliche attribute sich anzeigen lassen kann. @NorbertFe Ich mit dem ( Der Built-In Admin hat die -500 und damit ist fast auf allen Systemen die UAC aus. Vielleicht liegts ja daran. ) habe ich nicht ganz verstanden. Magst du mir mehr dazu sagen ? Gruß Marcel Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 30. April 2019 Melden Teilen Geschrieben 30. April 2019 Moin, aha. Das bringt etwas, wenn auch nicht viel Licht in die Sache. Allgemein vorweg: Ich halte es für sinnvoll, wenn ihr euer Vorhaben von jemandem begleiten lasst, der die Mechanismen des AD kennt. Sonst lauft ihr ziemlich wahrscheinlich in eine ungünstige Richtung. Auch wäre es wahrscheinlich sinnvoll, wenn ihr euch noch ausführlicher mit den Security-Grundlagen von Windows und AD befasst, da ist vieles anders als in der *x-Welt. Zu deiner Frage: Wenn ihr personalisierte Admin-Accounts haben wollt, reicht die Mitgliedschaft in den betreffenden Gruppen aus. Es gibt keine "versteckten" Attribute oder sowas. Einzige Ausnahme ist der vordefinierte Administrator (das ist der mit der RID -500), für den ein paar "hardcodierte" Ausnahmen gelten, damit er auch im Notfall noch Zugriff hat, Diesen Account verwendet man genau aus diesem Grund auch nicht für die tägliche Arbeit, sondern nur für Notfälle. Diese Ausnahmen sind aber nicht misszuverstehen als "Gott-Modus" - es gibt nichts, was der -500-Administrator kann, was man nicht mit anderen Admin-Accounts auch erreichen könnte, wenn diese die nötigen Berechtigungen haben. Genau an der Stelle fängt dann die Planung an. Windows selbst nutzt weder UID noch GID. Wenn es dort also Unterschiede bei euren Objekten gibt, dann habt ihr die selbst mit eurer Datenübertragung hergestellt. Für Windows und das AD sind diese Unterschiede aber ohne Belang. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 30. April 2019 Melden Teilen Geschrieben 30. April 2019 (bearbeitet) Moin, Der Standard Domänen Admin ist noch Mitglied Organisations-Admins, Richtlinien-Ersteller und Schema-Admins. bearbeitet 30. April 2019 von Tektronix Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 30. April 2019 Melden Teilen Geschrieben 30. April 2019 Ja aber erstens muss er das nicht sein und zweitens erhält er dann auch nur rechte, die nicht notwendig für die Aufgabenstellung sind. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.