Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Domäne zu hause: lokale admin rechte auf eigenem pc: ja oder nein?

Mitglied: Pixi123

Pixi123 (Level 1) - Jetzt verbinden

12.06.2018 um 20:58 Uhr, 783 Aufrufe, 12 Kommentare

Hallo!
Ich habe seit einiger Zeit bei mir zuhause eine Windows Domäne (Server 2016 essentials) eingerichtet. Ich habe eine handvoll windows-clients in die Domäne (virtuelle und physische), und auf all diesen Clients verwende ich auch nur normale Domänen-user ohne lokale admin-Rechte (btw: ich habe keine server-gespeicherten Profile; also nur mit dem domänen user am PC angemeldet). Soweit so gut. Meinen Haupt-PC ist bis jetzt noch nicht in die Domäne aufgenommen, weil ich ihn neu aufsetzen will und einiges vorher aufzuräumen habe. Dieser PC wurde bisher mit einem lokalen Admin-Konto verwendet (das Konto, das beim Aufsetzen angelegt wird). Jetzt stellt sich mir folgende Frage: wenn ich diesen PC neu aufsetze und in die Domäne aufnehme:
Soll ich ab jetzt ganz normaler Standard-domänen-user sein oder mein domänen-konto zu den lokalen Administratoren hinzufügen? In meiner Firma gibts ein paar lokale admins, die so angelegt wurden, dass sich der domänen-admin-account am client angemeldet hat und in systemsteuerung-benutzer den domänen-user zur Gruppen der lokalen admins hinzugefügt hat. Soweit ich gelesen habe, ist es aber eleganter, das mit eingeschränkten Gruppen zu machen (muss noch genauer nachlesen, wie das geht).
Mir ist klar, dass lokale admin rechte ein Sicherheitsrisiko sind und ich will bei meiner domain eigentlich alles nach best practise machen, aber ich habe Bedenken, dass als standard user nicht mehr alles so läuft wie gewohnt. Damit meine ich, dass mir schon klar ist, dass ich dann bei jeder Software Installation Admin-user und pw eingeben muss, was OK wäre, aber auch einfache updates , zB Java sind doch ohne admin rechte nicht möglich und meine größte Befürchtung, dass vielleicht einige Programme ohne admin rechte gar nicht mehr richtig laufen.
Deswegen meine Frage an euch: wie handhabt ihr das bei euch zu Hause bei eurem eigenen user-account?
Wäre es vielleicht eine gute Idee, 2 domänen user anzulegen und 1 davon zum lokalen admin zu machen? Dann richte ich den PC mit diesem adminuser ein, fahre updates etc, und für den täglichen Gebrauch nehme nich den standard-user. Dabei stellt sich mir aber die Frage, wie ich es bewerkstelligen kann, dass diese beiden user die gleichen Programme haben (nicht jede Software bietet in der Installationsroutine eine Installation für alle Benutzer an). Ideal wäre Oberhaupt der gleiche desktop usw, also alles gleich bis auf die Rechte, aber das geht wohl nicht.
Ich bin euch super dankbar für eure Hilfe,
LG pixi
Mitglied: maretz
12.06.2018 um 21:49 Uhr
Moin,

ehrlich gesagt: Wenn du eh immer direkt das DA-Passwort reinhämmerst komme was will macht es keinen Unterschied... Ich würde empfehlen IMMER nur als normaler Benutzer zu arbeiten und nur bei Bedarf (zb. Software-installation) höhere Rechte. Das sorgt auch dafür das du eben nich mit nem falschen Klick alles zerlegst, Viren/sonstiger Rotz gleich im ganzen Netz ist UND das du ggf. 2x überlegst was du tust.
Bitte warten ..
Mitglied: certifiedit.net
12.06.2018 um 21:55 Uhr
Hallo,

egal, ob Heimdomäne oder Firma, egal ob "kleiner Mitarbeiter" oder Aufsichtsratvorsitzender. Die Arbeit erfolgt unter dem normalen Benutzeraccount mit stark auf die zu nutzende SW abgestimmte und eingeschränkte Rechte.

Alles andere macht aus Sicherheitstechnischer Sicht (Fehlereindämmung) keinen Sinn.

Dazu kommt: Bevor das Admin PW eingegeben wird, wird nachgedacht.


Viele Grüße,

Christian
Bitte warten ..
Mitglied: Pixi123
12.06.2018 um 22:05 Uhr
Zitat von maretz:

Ich würde empfehlen IMMER nur als normaler Benutzer zu arbeiten und nur bei Bedarf (zb. Software-installation) höhere Rechte.

Meinst du mit " bei Bedarf höhere Rechte" die Eingabe des da-passworts (und benurzers) während man als standard-user angemeldet ist, oder die Verwendung eines eigenen admin-kontos?
Bitte warten ..
Mitglied: Pixi123
12.06.2018 um 22:07 Uhr
OK, ist klar. Also arbeitet du selbst auch, obwohl domänen-admin, im Alltag mit einem standard-benutzer-konto?
Bitte warten ..
Mitglied: Pixi123
12.06.2018 um 22:11 Uhr
Könnt ihrbauf die anderen Fragen auch noch eingehen bitte? Vor allem die Sache mit den 2 Benutzern ind den gleichen Programmen für beide Benutzer. Was haltet ihr davon? Ich meine, man könnte auch den domänen-admin dafür verwenden, aber sicherer wäre ein lokaler admin, weil der nur lokal admin-rechte hat.
Bitte warten ..
Mitglied: StefanKittel
13.06.2018 um 06:48 Uhr
Moin,

Du benötigst doch lokale Admin-Recht oder nicht und wir sprechen von Windows 10 als OS?
Dann verwende ein normales Domänenkonto und füge es zur Gruppe der lokalen Administratoren hinzu.

Stefan
Bitte warten ..
Mitglied: certifiedit.net
13.06.2018 um 07:12 Uhr
Ja
Zitat von Pixi123:

OK, ist klar. Also arbeitet du selbst auch, obwohl domänen-admin, im Alltag mit einem standard-benutzer-konto?
Bitte warten ..
Mitglied: certifiedit.net
13.06.2018 um 07:12 Uhr
Zitat von Pixi123:

Könnt ihrbauf die anderen Fragen auch noch eingehen bitte? Vor allem die Sache mit den 2 Benutzern ind den gleichen Programmen für beide Benutzer. Was haltet ihr davon? Ich meine, man könnte auch den domänen-admin dafür verwenden, aber sicherer wäre ein lokaler admin, weil der nur lokal admin-rechte hat.
Du arbeitest nur mit Software die nur normale rechte braucht. Wenn es Mal mehr sein sollte gibst du die Passwörter ein. Sonst bist du normaler Nutzer
Bitte warten ..
Mitglied: erikro
LÖSUNG 13.06.2018 um 08:26 Uhr
Moin,

1. Du brauchst keinen lokalen Admin mehr, wenn der Rechner erst einmal in der Domain ist. Du hast Domain-Admin-Rechte. Die sind höher als die des lokalen Admins und Du kannst mit diesen Rechten alles, was der lokale kann.

2. Es ist bei Todesstrafe ;) verboten, als Admin, ob nun lokal oder Domain-Admin, zu arbeiten. Wer das tut, kann auch gleich alle Firewalls und andere Sicherheitseinrichtungen abbauen. Die braucht er dann nämlich nicht mehr.

3. Wenn Programme nicht laufen, wenn Du keine Admin-Rechte hast, dann solltest Du sie durch andere Software, die auch unter eingeschränkten Usern funktioniert, ersetzen. Ich weiß, dass davon viele Spiele betroffen sind. Mit ein wenig Mühe kriegt man die aber auch zum Laufen. Meist liegt das daran, dass sie in Verzeichnisse unter "c:\program files" schreiben wollen. Die muss man nur herausfinden und entsprechend die Rechte setzen. Schon läuft das. Das habe ich früher bei meinem Sohn bei jedem Spiel gemacht und bei jedem ging es nach fünf Minuten bis zwei Stunden. ;)

Liebe Grüße

Erik
Bitte warten ..
Mitglied: departure69
LÖSUNG 13.06.2018 um 10:05 Uhr
Hallo.

Ob Deine Programme (oder bestimmte davon) nur mit Adminrechten laufen, mußt Du natürlich erstmal rausfinden.

Meiner Erfahrung nach ist das aber selten, und wenn, sehr ärgerlich, dem Programmierer/Hersteller gehört eigentlich eine Links-Rechts-Kombination .

Ansonsten:

Ja, auch Updates von regelmäßig zu aktualisierendem, systemnahen Popelkram wie Java RE sind Setups, für die Du Admin sein mußt.

Es ist Deine Entscheidung , hier aus Bequemlichkeit Deinen ansich eingeschränkten Domänenaccount auf Deinem Haupt-PC generell über die lokale Benutzerverwaltung zugleich auch zum lokalen Admin zu machen oder nicht.

Ich würde es nicht tun, sondern mich in diesen Fällen als Admin (Domäne oder lokal ist dann wurstegal) anmelden, die Aktualisierungsarbeiten erledigen (sooo oft ist das ja wohl nicht) und mich danach wieder mit dem eingeschränkten Domänenaccount anmelden, um normal weiterzuarbeiten.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Pixi123
19.06.2018 um 17:07 Uhr
leute danke für die Antworten.
Eine ganz grundsätzliche frage hätte ich noch.
Ich gehe jetzt von Win 8.1 als OS aus:
Wenn ich einen Domänen-benutzer manuell zum lokalen Admin machen will, kann ich das machen über
1.) Systemteuerung --> Benutzerkonten -> Benutzerkonten verwalten -> hinzufügen
oder
2.) Systemsteuerung -> Verwaltung -> Computerverwaltung -> Lokale Benutzer und Gruppen -> Gruppen -> Administratoren -> hinzufügen.

Das Ergebnis ist soweit ich das beurteilen kann, das gleiche, bis auf den (optischen) Unterschied, dass bei Variante 1 der neue lokale Admin bei den Benutzerkonten drinn steht und bei Variante 2 nicht; bei Variante 2 steht der neue lokale Admin "nur" in der Gruppe der Administratoren.

Was ist hier die best practise?
(nur Ineresse, ich verfolge bei mir daheim den auch von euch angeratenen Ansatz, nicht mehr als lokaler Admin unterwegs zu sein.)

Ich habe übrigens auch was zum Them "eingeschränkte Gruppen gelesen", und dabei war auch die Info, dass die GPO Group Policy Preferences der bessere Ansatz ist, um lokale Admin-Rechte (oder remotedesktop-Rechte usw) zu vergeben:
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> lokale Benutzer und Gruppen: neu -> lokale Gruppe -> Administratoren (integriert) auswählen (für lokale Admin -Rechte) -> hinzufügen (vorher erstellte globale Sicherheitsgruppe "lokale Admins").
GPO an passende OU verknüpfen und fertig.
Könnt ihr das so bestätigen, dass das besser ist als "eingeschränkte Gruppen", vor allem wegen der möglichen Zielgruppenadressierung.
Bitte warten ..
Mitglied: StefanKittel
19.06.2018 um 17:18 Uhr
Hallo,

meiner Meinung ist es am besten den Benutzer zu der Gruppe der lokalen Administratoren hinzuzufügen.
Das kann man auch schön über die GPO machen.

In kleinen Umgebungen erstelle ich gerne eine Gruppe "Domänen-Lokaler-Administrator" was ich einmal auf allen PCs hinzufüge.
Damit kann ich auf dem Server einem Benutzer zum lokalen Admin machen ohne was an seinem PC zu fummeln.
Er hat dann natürlich auf allen PCs Admin-Rechte.

Stefan
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Lokale Client Rechte mit dem Domänen Admin und dem Organisations Admin?

Frage von M.MarzWindows Userverwaltung2 Kommentare

Hallo zusammen, welche Gruppen haben alles Lokale Rechte an den Clients in der Domäne? Sind es die beiden o. ...

Windows 10

Domänen Benutzer von lokalen PC löschen

gelöst Frage von jimb0pWindows 102 Kommentare

Hallo Zusammen, ich möchte einen Benutzer der sich an meinem Laptop in der Domäne angemeldet hat löschen. Es gibt ...

Windows Tools

Tool als Admin und mit erhöhten Rechten ausführen in der Domäne

Frage von Huibuh2010Windows Tools7 Kommentare

Hallo liebe Admins, ich hab ein kleiner Problem. In der Domäne sollen alle User im Autostart den Network-Scanner von ...

Humor (lol)

Neu für die Admins die zu Hause nicht genug bekommen können

Information von HenereHumor (lol)3 Kommentare

Schönen Freitag euch allen !

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1023 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken18 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Windows Server
Remote Desktop Services User Profile Disk - DFS
Frage von einzelkindWindows Server16 Kommentare

Hallo Miteinander, ich richte gerade eine neue RDS Farm auf Basis von Windows Server 2016 ein. Von Server 2012 ...