Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Durchsetzen der Gruppenrichtlinien auf einem Memberserver verhindern?

Frage Microsoft Windows Server

Mitglied: laster

laster (Level 2) - Jetzt verbinden

03.03.2009, aktualisiert 09:33 Uhr, 4521 Aufrufe, 3 Kommentare

Hallo, ich habe folgende Aufgabenstellung: auf einem Memberserber sollen die DomAdmins keinen Zugriff haben.

Normalerweise soll ein DomAdmin immer Zugriff auf die Server der Domäne haben, in meinem Fall soll es für den speziellen Server aber einen extra Admin geben - das ist so.
Der Memberserver muss auch in der Domäne bleiben, weil auf ihm ein Mailserver die Mailuser (sind Domänenuser) per Kerberos authentifiziert.

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.

Nun meine Frage: kann ich mit einer lokalen Firewall (z.B. PC Tools Firewall Plus™ 5 für Windows) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE (welche Ports, oder alle Zugriffe vom DC,...)?

Wäre ganz toll, wenn sich jemand mit dem Thema auskennt und mir helfen würde
Mitglied: Logan000
03.03.2009 um 11:28 Uhr
Moin Moin

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.
Nun meine Frage: kann ich mit einer lokalen Firewall (...) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE?
Wozu? Habt Ihr irgendwie Streit oder so?
Was Du das vorhast ist bestenfalls Problematisch und wie ich vermuten möche in dieser Form nmöglich (evtl mit einem Trust zwischen 2 Domänen).
Was ist mit den Einstellungen der Default Domain Pol., usw.?

Sprecht euch ab, legt fest wer was macht und gebt euren Benutzerkonten entsprechende Rechte.

Gruß L.
Bitte warten ..
Mitglied: laster
03.03.2009 um 12:16 Uhr
Hallo Logan000,

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.

Mich interessiert jetzt halt, ob es eine technische Lösung gibt.

Was ist mit den Einstellungen der Default Domain Pol., usw.?

Die kann der DomAdmin doch nach belieben ändern...

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.

Das funktioniert im Test. Aber wie kann ich verhindern, dass der DomAdmin das per GP wieder ändert?
Entweder mit einer lokalen Firewall... oder mit einen Task, der alle 5 Minuten "net localgroup administratoren xxx\domain-admins /Delete" ausführt?
Jede Lösung ist Mist, aber ich brauch von denen die Beste

VG L.
Bitte warten ..
Mitglied: Logan000
03.03.2009 um 13:06 Uhr
Moin Moin

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Was ich versucht habe dir zu sagen ist das es aus meiner Sicht nur eine Organisatorische Lösung gibt (zumindest solange dein Server in der gleichen Domäne ist).
Es sei denn es ist dir egal ob die Kiste läuft oder nicht.
Auf XP/2003 werden die GPOs duch den WINLOGON Prozess in der Registry gesetzt
Du müsstest also (so wie ich das sehe) dem System Konto den Schreibzugriff auf die Registry entziehen. Und das soltest du nicht tun
Wenn Du befürchtest Dein ""Kollege" legt deinen Server lahm.,dann ist das zwar Scheiße von Ihm, aber besser als wenn Du es selber tust!

Der Task mit "net localgroup..." wäre auch zu umgehen aber wohl weitesgehend unkritisch.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Hintergrundbild per Gruppenrichtlinien wird nicht aktualisiert (4)

Frage von florianza zum Thema Windows Server ...

Windows Server
gelöst Memberserver zum DC heraufstufen ohne den ursprünglichen DC (16)

Frage von ole2211 zum Thema Windows Server ...

Windows Netzwerk
gelöst Gruppenrichtlinien Item-Level targeting per Power Shell ändern (9)

Frage von Lukas4580 zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(8)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte