Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Delegation resp. Einschränkungen von Administratoren

Frage Microsoft Windows Server

Mitglied: Webdoktor

Webdoktor (Level 1) - Jetzt verbinden

23.09.2010 um 08:55 Uhr, 2682 Aufrufe, 5 Kommentare

Wie muss ich da genau Vorgehen?

Hallo zusammen

In unserer Organisation ist es im Moment so, dass wir 10 Administratoren haben welche alle
das Recht Domain Admins haben und somit volle Rechte auf dem Server besitzen.

Dies möchten wir nun ändern und z.B. drei unterstufungen von Administratoren erstellen. Dass
es Admins gibt die immer noch alles dürfen, dann z.B. Admins die nur im AD Änderungen machen
dürfen aber z.B. nicht auf der Filestruktur und Admins die z.B. nur in einigen OU's was machen dürfen.

Also eine Rollenverteilung resp. Delegation der Rechten. Wer genau was erhält weiss ich nun noch
nicht explizit. Es geht mir mehr darum, wie muss ich da am bestne vorgehen damit man diese
Unterstufungen machen kann?

Freue mich auf eure Antworten.
Marco
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 10:42 Uhr
Moin,

Wer genau was erhält weiss ich nun noch nicht explizit.

und genau das ist jedoch der Grundstein für die eigentliche Aufgabe.
Erst wenn auf Papier alles niedergeschrieben und die Struktur feststeht, kann man an die technische Umsetzung gehen.
Vorallem sollte keiner der Administratoren mit seinem Account, mit dem er den ganzen Tag an seiner Workstation angemeldet ist,
in der Gruppe der Domänen-Admins sein! Besser ist es, wenn jeder ein zweites Benutzerkonto erhält und dieses Konto dann zu den Domänen-Admins hinzufügt wird.

Forste dich durch die folgenden Links durch. Darin findest du alles was du brauchst, nur nicht, wer welche Rechte erhalten soll, sprich das Design.
Diese Arbeit musst du erledigen.

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...

[Download details: Best Practices for Delegating Active Directory Administration]
https://www.microsoft.com/downloads/en/details.aspx?familyid=631747a3-79 ...

[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Webdoktor
23.09.2010 um 11:06 Uhr
Hallo Yusuf

Vielen Dank für Deine prompte Antwort. Wir haben für jeden Administrator einen zweiten Account d.h. er verwendet nicht den
gleichen wie er beim täglichen Arbeiten nutzt. Das haben wir bereits so

Mir ist bewusst, dass ich mich nun an die Sturktur machen muss. Ich wollte einfach vorgängig kurz wissen, wie resp. was
alles mit GPO & Co möglich ist.

Eine kleine Vorstellung habe ich bereits, ich möchte drei Profile resp. Rollen machen.

- Server (Der darf wie jetzt alles)
- Administrator (Darf das AD bedienen, Domänen beitritte machen usw.)
- Desktop (Darf nur auf einigen OU's was machen)

Ist das vorgehen grob gesagt so realistisch resp. wie machst Du / Ihr das?

Marco
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 11:44 Uhr
Du willst also doch *von mir*, deine Struktur erstellt haben. ;-D

Jedes Unternehmen ist anders und stellt vorallem andere Ansprüche. Daher kann man, wie du es dir sicher selbst vorstellen kannst, keine pauschale Aussage treffen.

Was man antrifft ist z.B., dass der Helpdesk der den Usersupport durchführt Benutzerkonten entsperren und Kennwort zurücksetzen, aber keine Benutzer erstellen kann.
In anderen Unternehmen darf der Helpdesk wiederum Benutzer erstellen. Was man auch antrifft ist, dass Clients die vom Helpdesk installiert werden,
diese auch zur Domäne hinzufügen dürfen.

Jetzt könnte ich hier alles aufzählen, aber dazu reicht mein Leben nicht aus.

Definiere strikt wer was darf und was machen soll. Der Serveradministrator hat erstmal nichts mit dem AD zu tun.
Daher sollte der Serveradministrator keine Rechte für das AD besitzen usw. usf.

Ran ans Werk.


Gruß, Yusuf
Bitte warten ..
Mitglied: Webdoktor
23.09.2010 um 12:26 Uhr
Hallo Yusuf

Vielen Dank für Deine kompetenten Antworten. Ich werde mir diese Struktur in den nächsten Tagen genau überlegen.
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?

Dann sollte ja nichts mehr schief gehen?!

LG Marco
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 14:33 Uhr
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?

Genau und hier von uns, bei konkreten Fragen.

Dann sollte ja nichts mehr schief gehen?!

Na das hängt von dir ab. Aber "kaputt" machen tust du nichts. Abgesehen davon ist nichts davon in Stein gemeißelt.
Alles lässt sich bei der Delegierung im nachhinein wieder rückgängig machen bzw. ändern.
Daher ist es auch empfehlenswert, die Delegierung mit DSACLS durchzuführen. Denn dadurch weißt du genau, was du delegiert hast und kannst dadurch,
die Delegierung recht einfach wieder rückgängig machen.


Gruß, Yusuf
Bitte warten ..
Ähnliche Inhalte
Tipps & Tricks
OpenVPN Delegationen
Anleitung von agowa338Tipps & Tricks

Hallo, in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für Außendienst Mitarbeiter ...

Windows Server
Active Directory - Delegation
Frage von TeutoneWindows Server8 Kommentare

Hallo liebe ITler, ich habe folgende Frage an euch. Ich möchte in unserem Unternehmen dem Hausmeister das Recht gewähren, ...

E-Business
Opensource CRM resp ERP für Optikerunternehmen
gelöst Frage von adminstE-Business5 Kommentare

Hallo zusammen Bei einem Optikergerschäft von einem Freund werkelt ein ERP welches in einem RZ läuft und seit langer ...

Windows Server
Delegation LDAP für Active Directory
Frage von CoreknabeWindows Server3 Kommentare

Moin, ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows 10
Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App
Tipp von kgbornWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...