Jump to content

Eingeschränkte Administrator Gruppe

codeslayer

Von codeslayer
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

codeslayer Enthusiast

codeslayer   10

Geschrieben
Geschrieben

Hallo,

ich möchte für Support-Mitarbeiter eine Gruppe anlegen damit sie je folgende Aufgaben durchführen können:

- User und Gruppen anlegen/löschen - Gruppen/User anderen Gruppen zuordnen

- Computer accounts löschen

- DNS einträge verwalten

- DHCP verwalten (u.a. Reservierungen managen)

- Group Policy verwalten

 

Ich möchte vermeiden diese Gruppe einfach den "Domain Admins" zuzuordnen da man damit uneingeschränkte Rechte bekommt (nich nur in der Domain sondern auf allen Clients und Serverv)

 

Welche Möglichkeiten stehen hierbei zur Verfügung? Kann zB. man gewisse OU Zweige für Gruppen zur Verwaltung freigeben?

Wie wird das in großen Organisationen gemacht?

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.086

Geschrieben
Geschrieben (bearbeitet)

Du suchst Delegation. Dazu gibts ca. 1000 How Tos. :) Bevor man aber alles an eine Gruppe delegiert, sollte man überlegen, ob es nicht sinnvoller ist, die Aufgaben einzeln zu delegieren. Also jeden deiner Stichpunkte einzeln anstatt alles an eine Gruppe.

https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/

http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/

 

Domänenadmins haben auf Clients und "Nicht-DCs" nichts zu suchen. Das kannst du dann gleich mit beheben und ihnen die Anmeldung verweigern.

 

Edit sagt: Dokumentation jeder einzelnen Berechtigungsvergabe nicht vergessen.

 

bearbeitet von NorbertFe
Link zu diesem Kommentar
codeslayer Enthusiast

codeslayer   10

Geschrieben
  • Autor
Geschrieben

Danke für die schnellen und Umfangreichen Antworten. Ich werde mir die Links mal ansehen und in das Thema einlesen - ich habe es glaube ich in meiner Laufbahn schon mal gestreift aber nicht beachtet da zu dem Zeitpunkt kein Bedarf war.

 

Zum Thema DomAdmins und Clients (danke auch für den Tipp):

Vereinfacht gesagt würde das bedeuten die Domain Admins aus der lokalen Administartors Gruppe entfernen aber trotzdem eine Gruppe wie zB. ClientAdmins od. ServerAdmins drin lassen und diesen Gruppen nur bei Bedarf und kontrolliert User/Gruppen zuordnen - korrekt?

Link zu diesem Kommentar
testperson Grand Master

testperson   1.728

Geschrieben
Geschrieben

Hi,

 

vor 1 Stunde schrieb codeslayer:

Zum Thema DomAdmins und Clients (danke auch für den Tipp):

Vereinfacht gesagt würde das bedeuten die Domain Admins aus der lokalen Administartors Gruppe entfernen aber trotzdem eine Gruppe wie zB. ClientAdmins od. ServerAdmins drin lassen und diesen Gruppen nur bei Bedarf und kontrolliert User/Gruppen zuordnen - korrekt?

wenn man schonmal dabei ist: What you can do, should do and should NOT do with GPOs: Wer bin ich und was darf ich - Gruppenmitgliedschaften und Benutzerrechte (evilgpo.blogspot.com)

 

Alternativ sollte man damit auch "einfach" ClientAdmins auf PCs bekommen. :)

 

Gruß

Jan

Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...