anulu1
Mar 26, 2015
view2429
view10
0
Goto Top

Dienstuser mit Domänenadminrechten einichten

GermansolvedQuestionWindows ServerMicrosoft
Hallo,
wie kann ich einem Benutzer mit Domänenadminrechten die Anmeldung an den Serversystemen verweigern?
Wir wollen alle Adminpaßwörter ändern weil ein Mitarbeiter keinen Zugriff mehr auf die EDV haben sollen.
Da einige Benutzer nur als Dienst benötigt werden wäre die Idee diesen die Anmeldung am Windows System zu verweigern.

Geht das?

Gruß,
Chris
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 267530

Url: https://administrator.de/contentid/267530

Printed on: April 26, 2024 at 09:04 o'clock

10 Comments
Latest comment
Goto Top
Member: clSchak
clSchak Mar 26, 2015 at 14:37:20 (UTC)
Goto Top
Hi

du kannst in dem Reiter "Konto" von den Eigenschaften des User Objektes im AD, festlegen an welchen Systemen sich der Dienst anmelden kann/darf, damit kannst zielgerecht steuern dass sich der entsprechende Dienst auch nur an den dafür vorgesehenen Systemen anmelden kann.

Gruß
clSchak
Member: Anulu1
Anulu1 Mar 26, 2015 at 15:01:20 (UTC)
Goto Top
Danke für die Info! Aber kann man nicht einem Konto verbieten sich als User anzumelden über RDP. Falls nämlich ein Benutzer im Haus ein Paßwort weiß könnte er sich damit anmelden. Wie gesagt die Idee wäre dass es reine Dienstbenutzer geben soll.
Member: clSchak
clSchak Mar 26, 2015 at 15:07:40 (UTC)
Goto Top
Nein, der muss ja in der Gruppe Remotedesktopuser sein, ansonsten geht das nicht, es reicht dafür in der Regel nicht aus als Domänen admin eingetragen zu sein, es sei denn ihr habt gpos die das so einstellen, ansonsten muss der Benutzer in die Gruppe eingetragen werden.
Member: DerWoWusste
DerWoWusste Mar 26, 2015 at 17:03:57 (UTC)
Goto Top
Hi.

Man nimmt keine Domänenadmins für Dienste. Was brachte Euch dazu, es ist sehr gefährlich?
Nimm entweder Dienstekonten (Domänen ab 2008 R2 ermöglichen das), oder nutze das Systemkonto - auch dieses kann im Netzwerk handeln.
Member: SarekHL
SarekHL Mar 27, 2015 at 14:22:05 (UTC)
Goto Top
Schau Dir mal http://www.andysblog.de/windows-lokale-benutzeranmeldung-verhindern an. Wenn Du das nicht wie dort beschrieben in der lokalen Gruppenrichtlinie machst, sondern in der Default Domain Policy, dann hast Du vermutlich, was Du brauchst.

ABER pass auf, dass Du Dich nicht selbst aussperrst ;)
Member: Anulu1
Anulu1 Apr 07, 2015 at 11:21:35 (UTC)
Goto Top
Manche Hersteller bestehen auf Domänenadmins...da sind mir die Hände gebunden..
Member: Anulu1
Anulu1 Apr 07, 2015 at 11:25:31 (UTC)
Goto Top
Habe jetzt die Anmeldung von allen Admins erstmal über RDP gesperrt.
Member: DerWoWusste
DerWoWusste Apr 07, 2015 at 11:43:11 (UTC)
Goto Top
Moin.

Manche Hersteller bestehen auf Domänenadmins...da sind mir die Hände gebunden..
Das ist kompletter Unsinn (von denen) - kein Vorteil und nur riesige Sicherheits-Nachteile
Habe jetzt die Anmeldung von allen Admins erstmal über RDP gesperrt.
Das ist noch nicht genug. Netzwerkanmeldungen (Remote Shell und Konsorten) musst Du dann auch firewallseitig sperren.
Member: SarekHL
SarekHL Apr 07, 2015 at 13:43:44 (UTC)
Goto Top
Zitat von @DerWoWusste:

> Manche Hersteller bestehen auf Domänenadmins...da sind mir die Hände gebunden..
Das ist kompletter Unsinn (von denen) - kein Vorteil und nur riesige Sicherheits-Nachteile

Was ja nichts daran ändert, dass es so ist und dass man als User der entsprechenden Programme damit umgehen muss ...
Member: DerWoWusste
DerWoWusste Apr 07, 2015 at 13:54:45 (UTC)
Goto Top
Aha. Du meinst, man kann das Programm nicht betreiben, wenn man es richtig macht und keinen Domänenadmin nimmt? Dafür gibt es keinen Grund. Oder meinst Du, dass man dann keinen Support bekommt, wenn man es richtig macht? Das könnte natürlich sein.
GermansolvedQuestionWindows ServerMicrosoft