Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Delegation resp. Einschränkungen von Administratoren

Frage Microsoft Windows Server

Mitglied: Webdoktor

Webdoktor (Level 1) - Jetzt verbinden

23.09.2010 um 08:55 Uhr, 2643 Aufrufe, 5 Kommentare

Wie muss ich da genau Vorgehen?

Hallo zusammen

In unserer Organisation ist es im Moment so, dass wir 10 Administratoren haben welche alle
das Recht Domain Admins haben und somit volle Rechte auf dem Server besitzen.

Dies möchten wir nun ändern und z.B. drei unterstufungen von Administratoren erstellen. Dass
es Admins gibt die immer noch alles dürfen, dann z.B. Admins die nur im AD Änderungen machen
dürfen aber z.B. nicht auf der Filestruktur und Admins die z.B. nur in einigen OU's was machen dürfen.

Also eine Rollenverteilung resp. Delegation der Rechten. Wer genau was erhält weiss ich nun noch
nicht explizit. Es geht mir mehr darum, wie muss ich da am bestne vorgehen damit man diese
Unterstufungen machen kann?

Freue mich auf eure Antworten.
Marco
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 10:42 Uhr
Moin,

Wer genau was erhält weiss ich nun noch nicht explizit.

und genau das ist jedoch der Grundstein für die eigentliche Aufgabe.
Erst wenn auf Papier alles niedergeschrieben und die Struktur feststeht, kann man an die technische Umsetzung gehen.
Vorallem sollte keiner der Administratoren mit seinem Account, mit dem er den ganzen Tag an seiner Workstation angemeldet ist,
in der Gruppe der Domänen-Admins sein! Besser ist es, wenn jeder ein zweites Benutzerkonto erhält und dieses Konto dann zu den Domänen-Admins hinzufügt wird.

Forste dich durch die folgenden Links durch. Darin findest du alles was du brauchst, nur nicht, wer welche Rechte erhalten soll, sprich das Design.
Diese Arbeit musst du erledigen.

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...

[Download details: Best Practices for Delegating Active Directory Administration]
https://www.microsoft.com/downloads/en/details.aspx?familyid=631747a3-79 ...

[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Webdoktor
23.09.2010 um 11:06 Uhr
Hallo Yusuf

Vielen Dank für Deine prompte Antwort. Wir haben für jeden Administrator einen zweiten Account d.h. er verwendet nicht den
gleichen wie er beim täglichen Arbeiten nutzt. Das haben wir bereits so

Mir ist bewusst, dass ich mich nun an die Sturktur machen muss. Ich wollte einfach vorgängig kurz wissen, wie resp. was
alles mit GPO & Co möglich ist.

Eine kleine Vorstellung habe ich bereits, ich möchte drei Profile resp. Rollen machen.

- Server (Der darf wie jetzt alles)
- Administrator (Darf das AD bedienen, Domänen beitritte machen usw.)
- Desktop (Darf nur auf einigen OU's was machen)

Ist das vorgehen grob gesagt so realistisch resp. wie machst Du / Ihr das?

Marco
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 11:44 Uhr
Du willst also doch *von mir*, deine Struktur erstellt haben. ;-D

Jedes Unternehmen ist anders und stellt vorallem andere Ansprüche. Daher kann man, wie du es dir sicher selbst vorstellen kannst, keine pauschale Aussage treffen.

Was man antrifft ist z.B., dass der Helpdesk der den Usersupport durchführt Benutzerkonten entsperren und Kennwort zurücksetzen, aber keine Benutzer erstellen kann.
In anderen Unternehmen darf der Helpdesk wiederum Benutzer erstellen. Was man auch antrifft ist, dass Clients die vom Helpdesk installiert werden,
diese auch zur Domäne hinzufügen dürfen.

Jetzt könnte ich hier alles aufzählen, aber dazu reicht mein Leben nicht aus.

Definiere strikt wer was darf und was machen soll. Der Serveradministrator hat erstmal nichts mit dem AD zu tun.
Daher sollte der Serveradministrator keine Rechte für das AD besitzen usw. usf.

Ran ans Werk.


Gruß, Yusuf
Bitte warten ..
Mitglied: Webdoktor
23.09.2010 um 12:26 Uhr
Hallo Yusuf

Vielen Dank für Deine kompetenten Antworten. Ich werde mir diese Struktur in den nächsten Tagen genau überlegen.
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?

Dann sollte ja nichts mehr schief gehen?!

LG Marco
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
23.09.2010 um 14:33 Uhr
Wie ich es dann umsetzen muss finde ich in Deinen oben erwähnten Links?

Genau und hier von uns, bei konkreten Fragen.

Dann sollte ja nichts mehr schief gehen?!

Na das hängt von dir ab. Aber "kaputt" machen tust du nichts. Abgesehen davon ist nichts davon in Stein gemeißelt.
Alles lässt sich bei der Delegierung im nachhinein wieder rückgängig machen bzw. ändern.
Daher ist es auch empfehlenswert, die Delegierung mit DSACLS durchzuführen. Denn dadurch weißt du genau, was du delegiert hast und kannst dadurch,
die Delegierung recht einfach wieder rückgängig machen.


Gruß, Yusuf
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Microsoft Office
Aktivierung PKC Lizenzen Office 2016 - Einschränkungen? (7)

Frage von MelanieW zum Thema Microsoft Office ...

Batch & Shell
gelöst PSExec Remoteausführung zur Speicherung der lokalen Administratoren in .csv Datei (4)

Frage von Penetrator zum Thema Batch & Shell ...

Windows 8
gelöst Keine Administratoren Berechtigungen mehr Windwos 8.1 (18)

Frage von snake070 zum Thema Windows 8 ...

Windows Server
Windows 10 ! PRO ! Gruppenrichtlinien GPO Einschränkungen (6)

Frage von Sachellen zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...