laster
Goto Top

Durchsetzen der Gruppenrichtlinien auf einem Memberserver verhindern?

Hallo, ich habe folgende Aufgabenstellung: auf einem Memberserber sollen die DomAdmins keinen Zugriff haben.

Normalerweise soll ein DomAdmin immer Zugriff auf die Server der Domäne haben, in meinem Fall soll es für den speziellen Server aber einen extra Admin geben - das ist so.
Der Memberserver muss auch in der Domäne bleiben, weil auf ihm ein Mailserver die Mailuser (sind Domänenuser) per Kerberos authentifiziert.

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.

Nun meine Frage: kann ich mit einer lokalen Firewall (z.B. PC Tools Firewall Plus™ 5 für Windows) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE (welche Ports, oder alle Zugriffe vom DC,...)?

Wäre ganz toll, wenn sich jemand mit dem Thema auskennt und mir helfen würde face-smile

Content-Key: 110388

Url: https://administrator.de/contentid/110388

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: Logan000
Logan000 03.03.2009 um 11:28:53 Uhr
Goto Top
Moin Moin

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.
Nun meine Frage: kann ich mit einer lokalen Firewall (...) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE?
Wozu? Habt Ihr irgendwie Streit oder so?
Was Du das vorhast ist bestenfalls Problematisch und wie ich vermuten möche in dieser Form nmöglich (evtl mit einem Trust zwischen 2 Domänen).
Was ist mit den Einstellungen der Default Domain Pol., usw.?

Sprecht euch ab, legt fest wer was macht und gebt euren Benutzerkonten entsprechende Rechte.

Gruß L.
Mitglied: laster
laster 03.03.2009 um 12:16:35 Uhr
Goto Top
Hallo Logan000,

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.

Mich interessiert jetzt halt, ob es eine technische Lösung gibt.

Was ist mit den Einstellungen der Default Domain Pol., usw.?

Die kann der DomAdmin doch nach belieben ändern...

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.

Das funktioniert im Test. Aber wie kann ich verhindern, dass der DomAdmin das per GP wieder ändert?
Entweder mit einer lokalen Firewall... oder mit einen Task, der alle 5 Minuten "net localgroup administratoren xxx\domain-admins /Delete" ausführt?
Jede Lösung ist Mist, aber ich brauch von denen die Beste face-smile

VG L.
Mitglied: Logan000
Logan000 03.03.2009 um 13:06:00 Uhr
Goto Top
Moin Moin

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Was ich versucht habe dir zu sagen ist das es aus meiner Sicht nur eine Organisatorische Lösung gibt (zumindest solange dein Server in der gleichen Domäne ist).
Es sei denn es ist dir egal ob die Kiste läuft oder nicht.
Auf XP/2003 werden die GPOs duch den WINLOGON Prozess in der Registry gesetzt
Du müsstest also (so wie ich das sehe) dem System Konto den Schreibzugriff auf die Registry entziehen. Und das soltest du nicht tun
Wenn Du befürchtest Dein ""Kollege" legt deinen Server lahm.,dann ist das zwar ###e von Ihm, aber besser als wenn Du es selber tust!

Der Task mit "net localgroup..." wäre auch zu umgehen aber wohl weitesgehend unkritisch.

Gruß L.