Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Delegation resp. Einschränkungen von Administratoren

Frage Microsoft Windows Server

Mitglied: Webdoktor

Webdoktor (Level 1) - Jetzt verbinden

23.09.2010 um 08:55 Uhr, 2679 Aufrufe, 5 Kommentare

Wie muss ich da genau Vorgehen?

Hallo zusammen

In unserer Organisation ist es im Moment so, dass wir 10 Administratoren haben welche alle
das Recht Domain Admins haben und somit volle Rechte auf dem Server besitzen.

Dies möchten wir nun ändern und z.B. drei unterstufungen von Administratoren erstellen. Dass
es Admins gibt die immer noch alles dürfen, dann z.B. Admins die nur im AD Änderungen machen
dürfen aber z.B. nicht auf der Filestruktur und Admins die z.B. nur in einigen OU's was machen dürfen.

Also eine Rollenverteilung resp. Delegation der Rechten. Wer genau was erhält weiss ich nun noch
nicht explizit. Es geht mir mehr darum, wie muss ich da am bestne vorgehen damit man diese
Unterstufungen machen kann?

Freue mich auf eure Antworten.
Marco
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 10:42 Uhr
Moin,

Wer genau was erhält weiss ich nun noch nicht explizit.

und genau das ist jedoch der Grundstein für die eigentliche Aufgabe.
Erst wenn auf Papier alles niedergeschrieben und die Struktur feststeht, kann man an die technische Umsetzung gehen.
Vorallem sollte keiner der Administratoren mit seinem Account, mit dem er den ganzen Tag an seiner Workstation angemeldet ist,
in der Gruppe der Domänen-Admins sein! Besser ist es, wenn jeder ein zweites Benutzerkonto erhält und dieses Konto dann zu den Domänen-Admins hinzufügt wird.

Forste dich durch die folgenden Links durch. Darin findest du alles was du brauchst, nur nicht, wer welche Rechte erhalten soll, sprich das Design.
Diese Arbeit musst du erledigen.

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...

[Download details: Best Practices for Delegating Active Directory Administration]
https://www.microsoft.com/downloads/en/details.aspx?familyid=631747a3-79 ...

[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Webdoktor
23.09.2010 um 11:06 Uhr
Hallo Yusuf

Vielen Dank für Deine prompte Antwort. Wir haben für jeden Administrator einen zweiten Account d.h. er verwendet nicht den
gleichen wie er beim täglichen Arbeiten nutzt. Das haben wir bereits so

Mir ist bewusst, dass ich mich nun an die Sturktur machen muss. Ich wollte einfach vorgängig kurz wissen, wie resp. was
alles mit GPO & Co möglich ist.

Eine kleine Vorstellung habe ich bereits, ich möchte drei Profile resp. Rollen machen.

- Server (Der darf wie jetzt alles)
- Administrator (Darf das AD bedienen, Domänen beitritte machen usw.)
- Desktop (Darf nur auf einigen OU's was machen)

Ist das vorgehen grob gesagt so realistisch resp. wie machst Du / Ihr das?

Marco
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 11:44 Uhr
Du willst also doch *von mir*, deine Struktur erstellt haben. ;-D

Jedes Unternehmen ist anders und stellt vorallem andere Ansprüche. Daher kann man, wie du es dir sicher selbst vorstellen kannst, keine pauschale Aussage treffen.

Was man antrifft ist z.B., dass der Helpdesk der den Usersupport durchführt Benutzerkonten entsperren und Kennwort zurücksetzen, aber keine Benutzer erstellen kann.
In anderen Unternehmen darf der Helpdesk wiederum Benutzer erstellen. Was man auch antrifft ist, dass Clients die vom Helpdesk installiert werden,
diese auch zur Domäne hinzufügen dürfen.

Jetzt könnte ich hier alles aufzählen, aber dazu reicht mein Leben nicht aus.

Definiere strikt wer was darf und was machen soll. Der Serveradministrator hat erstmal nichts mit dem AD zu tun.
Daher sollte der Serveradministrator keine Rechte für das AD besitzen usw. usf.

Ran ans Werk.


Gruß, Yusuf
Bitte warten ..
Mitglied: Webdoktor
23.09.2010 um 12:26 Uhr
Hallo Yusuf

Vielen Dank für Deine kompetenten Antworten. Ich werde mir diese Struktur in den nächsten Tagen genau überlegen.
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?

Dann sollte ja nichts mehr schief gehen?!

LG Marco
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 14:33 Uhr
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?

Genau und hier von uns, bei konkreten Fragen.

Dann sollte ja nichts mehr schief gehen?!

Na das hängt von dir ab. Aber "kaputt" machen tust du nichts. Abgesehen davon ist nichts davon in Stein gemeißelt.
Alles lässt sich bei der Delegierung im nachhinein wieder rückgängig machen bzw. ändern.
Daher ist es auch empfehlenswert, die Delegierung mit DSACLS durchzuführen. Denn dadurch weißt du genau, was du delegiert hast und kannst dadurch,
die Delegierung recht einfach wieder rückgängig machen.


Gruß, Yusuf
Bitte warten ..
Ähnliche Inhalte
Visual Studio
ClickOnce: Anwendung vom Administrator blockiert (6)

Frage von Christtian zum Thema Visual Studio ...

Windows Server
RDSH 2012 R2 - Einschränkungen für Serverhärtung (1)

Frage von Excaliburx zum Thema Windows Server ...

Windows Server
gelöst IIS- Feature Einschränkungen für IP-Adressen und Domänennamen fehlt (3)

Frage von Flinnigen1 zum Thema Windows Server ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...