Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Durchsetzen der Gruppenrichtlinien auf einem Memberserver verhindern?

Mitglied: laster

laster (Level 2) - Jetzt verbinden

03.03.2009, aktualisiert 09:33 Uhr, 4586 Aufrufe, 3 Kommentare

Hallo, ich habe folgende Aufgabenstellung: auf einem Memberserber sollen die DomAdmins keinen Zugriff haben.

Normalerweise soll ein DomAdmin immer Zugriff auf die Server der Domäne haben, in meinem Fall soll es für den speziellen Server aber einen extra Admin geben - das ist so.
Der Memberserver muss auch in der Domäne bleiben, weil auf ihm ein Mailserver die Mailuser (sind Domänenuser) per Kerberos authentifiziert.

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.

Nun meine Frage: kann ich mit einer lokalen Firewall (z.B. PC Tools Firewall Plus™ 5 für Windows) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE (welche Ports, oder alle Zugriffe vom DC,...)?

Wäre ganz toll, wenn sich jemand mit dem Thema auskennt und mir helfen würde
Mitglied: Logan000
03.03.2009 um 11:28 Uhr
Moin Moin

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.
Nun meine Frage: kann ich mit einer lokalen Firewall (...) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE?
Wozu? Habt Ihr irgendwie Streit oder so?
Was Du das vorhast ist bestenfalls Problematisch und wie ich vermuten möche in dieser Form nmöglich (evtl mit einem Trust zwischen 2 Domänen).
Was ist mit den Einstellungen der Default Domain Pol., usw.?

Sprecht euch ab, legt fest wer was macht und gebt euren Benutzerkonten entsprechende Rechte.

Gruß L.
Bitte warten ..
Mitglied: laster
03.03.2009 um 12:16 Uhr
Hallo Logan000,

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.

Mich interessiert jetzt halt, ob es eine technische Lösung gibt.

Was ist mit den Einstellungen der Default Domain Pol., usw.?

Die kann der DomAdmin doch nach belieben ändern...

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.

Das funktioniert im Test. Aber wie kann ich verhindern, dass der DomAdmin das per GP wieder ändert?
Entweder mit einer lokalen Firewall... oder mit einen Task, der alle 5 Minuten "net localgroup administratoren xxx\domain-admins /Delete" ausführt?
Jede Lösung ist Mist, aber ich brauch von denen die Beste

VG L.
Bitte warten ..
Mitglied: Logan000
03.03.2009 um 13:06 Uhr
Moin Moin

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Was ich versucht habe dir zu sagen ist das es aus meiner Sicht nur eine Organisatorische Lösung gibt (zumindest solange dein Server in der gleichen Domäne ist).
Es sei denn es ist dir egal ob die Kiste läuft oder nicht.
Auf XP/2003 werden die GPOs duch den WINLOGON Prozess in der Registry gesetzt
Du müsstest also (so wie ich das sehe) dem System Konto den Schreibzugriff auf die Registry entziehen. Und das soltest du nicht tun
Wenn Du befürchtest Dein ""Kollege" legt deinen Server lahm.,dann ist das zwar Scheiße von Ihm, aber besser als wenn Du es selber tust!

Der Task mit "net localgroup..." wäre auch zu umgehen aber wohl weitesgehend unkritisch.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Benutzer-Gruppenrichtlinie auf einem Client verhindern (unterbinden)

gelöst Frage von NoAenAssEyWindows Server8 Kommentare

Hallo Community, ich hoffe mir kann jemand helfen: Wir haben eine Gruppenrichtlinie mit Benutzerkonfigurationen für alle Standard-Domänen-Benutzer zugewiesen. Jetzt ...

Windows Netzwerk

Administrator kann nicht auf Memberserver Freigaben zugreifen

gelöst Frage von dneschenlohrWindows Netzwerk2 Kommentare

Hallo Admins, ich habe folgendes Problem und hoffe auf einen genialen Ansatz zur einer Lösung. Folgende Architektur habe ich ...

Windows Server

Memberserver zum DC heraufstufen ohne den ursprünglichen DC

gelöst Frage von ole2211Windows Server16 Kommentare

Guten Tag, ich habe eine (anspruchsvolle) Baustelle übernommen: Ein Pflegedienst mit 6 Clients hat(te) einen 2008er DC. Nach Software- ...

Windows Server

Wie am sinnvollsten einen Memberserver zu einem SBS 2011 hinzufügen? Technisch und Lizenztechnisch

Frage von StefanKittelWindows Server2 Kommentare

Hallo, ich habe hier eine kleine Firma mit einem SBS 2011 mit 5 Clients. Wie gehabt AD, DNS, DHCP, ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...