5
Delegation resp. Einschränkungen von Administratoren
Wie muss ich da genau Vorgehen?
Hallo zusammen
In unserer Organisation ist es im Moment so, dass wir 10 Administratoren haben welche alle
das Recht Domain Admins haben und somit volle Rechte auf dem Server besitzen.
Dies möchten wir nun ändern und z.B. drei unterstufungen von Administratoren erstellen. Dass
es Admins gibt die immer noch alles dürfen, dann z.B. Admins die nur im AD Änderungen machen
dürfen aber z.B. nicht auf der Filestruktur und Admins die z.B. nur in einigen OU's was machen dürfen.
Also eine Rollenverteilung resp. Delegation der Rechten. Wer genau was erhält weiss ich nun noch
nicht explizit. Es geht mir mehr darum, wie muss ich da am bestne vorgehen damit man diese
Unterstufungen machen kann?
Freue mich auf eure Antworten.
Marco
In unserer Organisation ist es im Moment so, dass wir 10 Administratoren haben welche alle
das Recht Domain Admins haben und somit volle Rechte auf dem Server besitzen.
Dies möchten wir nun ändern und z.B. drei unterstufungen von Administratoren erstellen. Dass
es Admins gibt die immer noch alles dürfen, dann z.B. Admins die nur im AD Änderungen machen
dürfen aber z.B. nicht auf der Filestruktur und Admins die z.B. nur in einigen OU's was machen dürfen.
Also eine Rollenverteilung resp. Delegation der Rechten. Wer genau was erhält weiss ich nun noch
nicht explizit. Es geht mir mehr darum, wie muss ich da am bestne vorgehen damit man diese
Unterstufungen machen kann?
Freue mich auf eure Antworten.
Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151595
Url: https://administrator.de/contentid/151595
Printed on: April 18, 2024 at 11:04 o'clock
5 Comments
Latest comment
Moin,
und genau das ist jedoch der Grundstein für die eigentliche Aufgabe.
Erst wenn auf Papier alles niedergeschrieben und die Struktur feststeht, kann man an die technische Umsetzung gehen.
Vorallem sollte keiner der Administratoren mit seinem Account, mit dem er den ganzen Tag an seiner Workstation angemeldet ist,
in der Gruppe der Domänen-Admins sein! Besser ist es, wenn jeder ein zweites Benutzerkonto erhält und dieses Konto dann zu den Domänen-Admins hinzufügt wird.
Forste dich durch die folgenden Links durch. Darin findest du alles was du brauchst, nur nicht, wer welche Rechte erhalten soll, sprich das Design.
Diese Arbeit musst du erledigen.
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
[Download details: Best Practices for Delegating Active Directory Administration]
https://www.microsoft.com/downloads/en/details.aspx?familyid=631747a3-79 ...
[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...
Viele Grüße
/ > Yusuf Dikmenoglu
Wer genau was erhält weiss ich nun noch nicht explizit.
und genau das ist jedoch der Grundstein für die eigentliche Aufgabe.
Erst wenn auf Papier alles niedergeschrieben und die Struktur feststeht, kann man an die technische Umsetzung gehen.
Vorallem sollte keiner der Administratoren mit seinem Account, mit dem er den ganzen Tag an seiner Workstation angemeldet ist,
in der Gruppe der Domänen-Admins sein! Besser ist es, wenn jeder ein zweites Benutzerkonto erhält und dieses Konto dann zu den Domänen-Admins hinzufügt wird.
Forste dich durch die folgenden Links durch. Darin findest du alles was du brauchst, nur nicht, wer welche Rechte erhalten soll, sprich das Design.
Diese Arbeit musst du erledigen.
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
[Download details: Best Practices for Delegating Active Directory Administration]
https://www.microsoft.com/downloads/en/details.aspx?familyid=631747a3-79 ...
[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...
Viele Grüße
/ > Yusuf Dikmenoglu
Hallo Yusuf
Vielen Dank für Deine prompte Antwort. Wir haben für jeden Administrator einen zweiten Account d.h. er verwendet nicht den
gleichen wie er beim täglichen Arbeiten nutzt. Das haben wir bereits so
Mir ist bewusst, dass ich mich nun an die Sturktur machen muss. Ich wollte einfach vorgängig kurz wissen, wie resp. was
alles mit GPO & Co möglich ist.
Eine kleine Vorstellung habe ich bereits, ich möchte drei Profile resp. Rollen machen.
- Server (Der darf wie jetzt alles)
- Administrator (Darf das AD bedienen, Domänen beitritte machen usw.)
- Desktop (Darf nur auf einigen OU's was machen)
Ist das vorgehen grob gesagt so realistisch resp. wie machst Du / Ihr das?
Marco
Vielen Dank für Deine prompte Antwort. Wir haben für jeden Administrator einen zweiten Account d.h. er verwendet nicht den
gleichen wie er beim täglichen Arbeiten nutzt. Das haben wir bereits so
Mir ist bewusst, dass ich mich nun an die Sturktur machen muss. Ich wollte einfach vorgängig kurz wissen, wie resp. was
alles mit GPO & Co möglich ist.
Eine kleine Vorstellung habe ich bereits, ich möchte drei Profile resp. Rollen machen.
- Server (Der darf wie jetzt alles)
- Administrator (Darf das AD bedienen, Domänen beitritte machen usw.)
- Desktop (Darf nur auf einigen OU's was machen)
Ist das vorgehen grob gesagt so realistisch resp. wie machst Du / Ihr das?
Marco
Du willst also doch *von mir*, deine Struktur erstellt haben. ;-D
Jedes Unternehmen ist anders und stellt vorallem andere Ansprüche. Daher kann man, wie du es dir sicher selbst vorstellen kannst, keine pauschale Aussage treffen.
Was man antrifft ist z.B., dass der Helpdesk der den Usersupport durchführt Benutzerkonten entsperren und Kennwort zurücksetzen, aber keine Benutzer erstellen kann.
In anderen Unternehmen darf der Helpdesk wiederum Benutzer erstellen. Was man auch antrifft ist, dass Clients die vom Helpdesk installiert werden,
diese auch zur Domäne hinzufügen dürfen.
Jetzt könnte ich hier alles aufzählen, aber dazu reicht mein Leben nicht aus.
Definiere strikt wer was darf und was machen soll. Der Serveradministrator hat erstmal nichts mit dem AD zu tun.
Daher sollte der Serveradministrator keine Rechte für das AD besitzen usw. usf.
Ran ans Werk.
Gruß, Yusuf
Jedes Unternehmen ist anders und stellt vorallem andere Ansprüche. Daher kann man, wie du es dir sicher selbst vorstellen kannst, keine pauschale Aussage treffen.
Was man antrifft ist z.B., dass der Helpdesk der den Usersupport durchführt Benutzerkonten entsperren und Kennwort zurücksetzen, aber keine Benutzer erstellen kann.
In anderen Unternehmen darf der Helpdesk wiederum Benutzer erstellen. Was man auch antrifft ist, dass Clients die vom Helpdesk installiert werden,
diese auch zur Domäne hinzufügen dürfen.
Jetzt könnte ich hier alles aufzählen, aber dazu reicht mein Leben nicht aus.
Definiere strikt wer was darf und was machen soll. Der Serveradministrator hat erstmal nichts mit dem AD zu tun.
Daher sollte der Serveradministrator keine Rechte für das AD besitzen usw. usf.
Ran ans Werk.
Gruß, Yusuf
Hallo Yusuf
Vielen Dank für Deine kompetenten Antworten. Ich werde mir diese Struktur in den nächsten Tagen genau überlegen.
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?
Dann sollte ja nichts mehr schief gehen?!
LG Marco
Vielen Dank für Deine kompetenten Antworten. Ich werde mir diese Struktur in den nächsten Tagen genau überlegen.
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?
Dann sollte ja nichts mehr schief gehen?!
LG Marco
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?
Genau und hier von uns, bei konkreten Fragen.
Dann sollte ja nichts mehr schief gehen?!
Na das hängt von dir ab. Aber "kaputt" machen tust du nichts. Abgesehen davon ist nichts davon in Stein gemeißelt.
Alles lässt sich bei der Delegierung im nachhinein wieder rückgängig machen bzw. ändern.
Daher ist es auch empfehlenswert, die Delegierung mit DSACLS durchzuführen. Denn dadurch weißt du genau, was du delegiert hast und kannst dadurch,
die Delegierung recht einfach wieder rückgängig machen.
Gruß, Yusuf
