marhal 0 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 Hallo alle zusamme, ich habe mal eine Frage. Wenn ich einen Benutzer in der Domänen-Admins Gruppe stelle, hat er die gleichen Rechte wie der Domänen Administrator ? Oder wo muss ich noch Harken setzen damit das dem gleich kommt. Zweck ist das wir Personalisierte Accounts haben wollen. Ich habe nämlich ein unterschied gefunden wenn ich mit der Powershell get-aduser mustermann | ui gidnumber abfrage ist die bei den Benutzer den ich in der Gruppe habe leer. Mache ich es aber mit dem Domänen Administrator habe ich dort werte drin stehen. Ist das ein Bug ? Hat jemand vielleich sonst ein Literatur Link wo ich mehr über das Rollen Management lesen kann. Gruß Marcel Zitieren
v-rtc 92 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 (bearbeitet) Hallo, das dürfte Interessant sein https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access Ist Euer Domänen Admin auch Forest Admin? Grüße bearbeitet 29. April 2019 von v-rtc Zitieren
NorbertFe 2.155 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 (bearbeitet) vor 38 Minuten schrieb marhal: hat er die gleichen Rechte wie der Domänen Administrator ? Nein er hat dann Domänen-Admin Rechte. Der Built-In Admin hat die -500 und damit ist fast auf allen Systemen die UAC aus. Vielleicht liegts ja daran. Bye Norbert PS: Das Ding heißt Haken, und definitiv nicht Hacken und erst Recht nicht Harken. :) bearbeitet 29. April 2019 von NorbertFe 1 1 Zitieren
daabm 1.387 Geschrieben 29. April 2019 Melden Geschrieben 29. April 2019 Ich versteh schon die Frage nicht, denn: PS Y:\> get-aduser admin | ui gidnumber ui : Die Benennung "ui" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang. In Zeile:1 Zeichen:20 + get-aduser admin | ui gidnumber + ~~ Was soll "ui" für ein Alias sein? Zitieren
NilsK 2.978 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 Moin, "gidnumber" deutet auf eine Linux-/Unix-Integration hin. Vielleicht kann @marhal mal genauer beschreiben, was eigentlich die Anforderung und die Umgebung ist. Gruß, Nils Zitieren
marhal 0 Geschrieben 30. April 2019 Autor Melden Geschrieben 30. April 2019 Morgen alle zusammen, gern kann ich noch mal das sagen. Wir kommen aus dem Linux bereich und übernehmen mit einem Powershell script die Attribute uid,gid etc und fügen sie einem ADuser hinzu. Mit dem Befehl get-aduser -property * | FL gidnumber,uidnumber,uid kann man sich die Attribute dann anzeigen lassen. Wie man sieht habe ich oben das -proberty * vergessen mit dem man zusätzliche attribute sich anzeigen lassen kann. @NorbertFe Ich mit dem ( Der Built-In Admin hat die -500 und damit ist fast auf allen Systemen die UAC aus. Vielleicht liegts ja daran. ) habe ich nicht ganz verstanden. Magst du mir mehr dazu sagen ? Gruß Marcel Zitieren
NilsK 2.978 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 Moin, aha. Das bringt etwas, wenn auch nicht viel Licht in die Sache. Allgemein vorweg: Ich halte es für sinnvoll, wenn ihr euer Vorhaben von jemandem begleiten lasst, der die Mechanismen des AD kennt. Sonst lauft ihr ziemlich wahrscheinlich in eine ungünstige Richtung. Auch wäre es wahrscheinlich sinnvoll, wenn ihr euch noch ausführlicher mit den Security-Grundlagen von Windows und AD befasst, da ist vieles anders als in der *x-Welt. Zu deiner Frage: Wenn ihr personalisierte Admin-Accounts haben wollt, reicht die Mitgliedschaft in den betreffenden Gruppen aus. Es gibt keine "versteckten" Attribute oder sowas. Einzige Ausnahme ist der vordefinierte Administrator (das ist der mit der RID -500), für den ein paar "hardcodierte" Ausnahmen gelten, damit er auch im Notfall noch Zugriff hat, Diesen Account verwendet man genau aus diesem Grund auch nicht für die tägliche Arbeit, sondern nur für Notfälle. Diese Ausnahmen sind aber nicht misszuverstehen als "Gott-Modus" - es gibt nichts, was der -500-Administrator kann, was man nicht mit anderen Admin-Accounts auch erreichen könnte, wenn diese die nötigen Berechtigungen haben. Genau an der Stelle fängt dann die Planung an. Windows selbst nutzt weder UID noch GID. Wenn es dort also Unterschiede bei euren Objekten gibt, dann habt ihr die selbst mit eurer Datenübertragung hergestellt. Für Windows und das AD sind diese Unterschiede aber ohne Belang. Gruß, Nils 1 Zitieren
Tektronix 21 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 (bearbeitet) Moin, Der Standard Domänen Admin ist noch Mitglied Organisations-Admins, Richtlinien-Ersteller und Schema-Admins. bearbeitet 30. April 2019 von Tektronix Zitieren
NorbertFe 2.155 Geschrieben 30. April 2019 Melden Geschrieben 30. April 2019 Ja aber erstens muss er das nicht sein und zweitens erhält er dann auch nur rechte, die nicht notwendig für die Aufgabenstellung sind. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.