Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einem Admin-User das Active Directory Usermanager sperren

Frage Microsoft Windows Userverwaltung

Mitglied: schloegel-edv

schloegel-edv (Level 1) - Jetzt verbinden

21.03.2012, aktualisiert 18:27 Uhr, 3616 Aufrufe, 8 Kommentare

Hallo,

Wie löst man es, wenn man User benötigt, die im Grunde alle Adminrechte haben sollen, um auf dem Server Porgramme zu installieren & Deinstallieren, aber keine Möglichkeiten haben soll User zu managen? Wir wollen vermeiden, daß er damit Änderungen vornimmt um Zugriff auf bestimmte Verzeichnisse zu erlangen.

Wir stellen uns das in etwa so vor: Die User sind Admins aber in einer Gruppe, denen der Zugriff auf bestimmte Verzeichnisse versagt ist. Damit das nicht geändert werden kann, müsste denen verboten sein in der Userverwaltung des AD zu werkeln. zB. mit einer Gruppenrichtlinie. Geht sowas?

Vielen Dank für Hilfreiches!
Mitglied: SlainteMhath
21.03.2012 um 16:38 Uhr
Moin,

ja das geht. Du nimmst die entsprechenden User aus dem Domain-Admins 'raus und gibts ihnen auf den entsprechenden Servern zu der lokalen Admin Gruppe hinzu. Auf die freigegebenen Verzeichnisse räumst Du dann auch entsprechende Rechte ein.

lg,
Slainte
Bitte warten ..
Mitglied: n4426
21.03.2012 um 17:03 Uhr
Hi,

ja das geht. Du nimmst die entsprechenden User aus dem Domain-Admins 'raus und gibts ihnen auf den entsprechenden Servern zu
der lokalen Admin Gruppe hinzu. Auf die freigegebenen Verzeichnisse räumst Du dann auch entsprechende Rechte ein.

du kannst in die Lokale-Admin-Gruppe anstatt des einzelnen Users auch eine Domain-Gruppe (z.B. DOMAIN\SRV-Admin) hinzufügen. Ich find das entwas übersichtlicher.

Du kannst zwar über GPO's und AD-Rechten einem Domain-Admin versuchen den zugriff auf das AD zu verweigern, was du aber nicht zu 100% schaffen wirst, da er sich die Rechte ja als Admin wieder zurückholen kann.

PS: Wenn der Server auch Domain-Controller ist, kannst es vergessen, da es da keine Lokalen Administratoren gibt.

Mit freundlichen Grüßen
n4426
Bitte warten ..
Mitglied: filippg
21.03.2012 um 21:45 Uhr
Hallo,

lokale Admins und irgendwelche Rechte im AD haben grundsätzlich nichts miteinander zu tun - außer man ist so faul, dass man Berechtigungen nur über die Gruppe Domain-Admins vergibt. Die Beschreibung von Slainte löst also den ersten Teil deines Problems.

Nur funktioniert das meines Wissens grundsätzlich nicht: Lokale Administratoren können sich auf einem NTFS-Laufwerk sämtliche Rechte besorgen. Wenn du ein explizites Deny für Zugriffe setzt können sie das entfernen. Das kannst du verhindern, indem du ihnen das Modify Permissions-Recht entziehst. das wiederum können sie umgehen, indem sie sich zum Owner der Daten machen. Und das kannst du nicht verhindern.
Einzige Ausnahme sind EFS-verschlüsselte Objekte, auf die können Administratoren erstmal nicht zugreifen (lässt sich aber glaube ich auch umgehen, indem man sich zum Backup-Operator macht, und einstellt, dass Alle Daten auch für Backup verschlüsselt werden).

Gruß

Filipp
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 09:53 Uhr
Moin.

Wer Admin auf einem Server ist, kann nicht eingeschränkt werden - Punkt. Er kann Virenscanner abschalten, Keylogger installieren, usw...
Wer nun glaubt, das mit GPOs, NTFS-Rechten usw. verhindern zu können, träumt. Allenfalls kann man per Überwachungsrichtlinie Aktionen monitoren. Ob Dir das ausreicht, musst Du selbst wissen - meistens reicht es.

Wenn Du von einem DC sprichst, kannst Du wie schon erwähnt leider eine lokale Admingruppe nicht nutzen.
Bitte warten ..
Mitglied: schloegel-edv
23.03.2012 um 11:23 Uhr
ok. Danke für die vielen Antworten. Leuchtet mir alles ein.
Also es geht um einen DC, der als Terminalserver genutzt wird. Aber wie macht Ihr das dann, wenn ein Mitarbeiter auch etwas "Brot & Butter" administrieren soll? Also Zugriff auf nicht alle Daten, die so rumliegen aber beispielsweise Software installieren, Updates von Software fahren etc. ? Da kann der Kunde doch nicht der einzige sein, der sowas will?
Bitte warten ..
Mitglied: SlainteMhath
23.03.2012 um 11:33 Uhr
Moin,

Wie DerWoWusst schon schrieb:
Wer Admin auf einem Server ist, kann nicht eingeschränkt werden - Punkt.
Wenn Du von einem DC sprichst, kannst Du wie schon erwähnt leider eine lokale Admingruppe nicht nutzen.
Mit diesen beiden Fakten musst du bzw. dein Kunde leben.
Wenn der Kunde das unbedingt will, dann muss der TS vom DC getrennt werden und auf einer separaten (ggfs. virtuellen) Maschine laufen.

Wie filippg schon schrieb: Man dann den Admin zwar den Zugriff auf Ordner verweigern, er kann ihn sich aber über die Übernahme des Besitze wieder holen (was dann allerdings an den Dateieigenschaften sicherbar ist)

Asonsten könnte mit TrueCrypt (o.Ä.) Container gearbeitt werden, was das Datei Handling allerdings etwas verkompliziert.

lg,
Slainte
Bitte warten ..
Mitglied: DerWoWusste
23.03.2012 um 11:50 Uhr
Moin.

Auf den Vorschlag "Überwachungsrichtlinie" willst Du nicht eingehen?
Bitte warten ..
Mitglied: schloegel-edv
23.03.2012 um 12:24 Uhr
ok, Danke

Das mit den Überwachungsrichtlinien ist ja ne reine Überwachung, so wie ich das lese. Aber am Ende gibt es wohl keine andere Lösung. Der Tip von SlainteMhath ist bei dem Kunden nicht machbar.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
gelöst Active Directory Domain Default User Profile (for Windows 8.1) (4)

Frage von adm2015 zum Thema Windows Server ...

Windows Server
Active Directory User löschen inkl Profilordner (23)

Frage von aif-get zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...