Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Durchsetzen der Gruppenrichtlinien auf einem Memberserver verhindern?

Frage Microsoft Windows Server

Mitglied: laster

laster (Level 2) - Jetzt verbinden

03.03.2009, aktualisiert 09:33 Uhr, 4528 Aufrufe, 3 Kommentare

Hallo, ich habe folgende Aufgabenstellung: auf einem Memberserber sollen die DomAdmins keinen Zugriff haben.

Normalerweise soll ein DomAdmin immer Zugriff auf die Server der Domäne haben, in meinem Fall soll es für den speziellen Server aber einen extra Admin geben - das ist so.
Der Memberserver muss auch in der Domäne bleiben, weil auf ihm ein Mailserver die Mailuser (sind Domänenuser) per Kerberos authentifiziert.

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.

Nun meine Frage: kann ich mit einer lokalen Firewall (z.B. PC Tools Firewall Plus™ 5 für Windows) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE (welche Ports, oder alle Zugriffe vom DC,...)?

Wäre ganz toll, wenn sich jemand mit dem Thema auskennt und mir helfen würde
Mitglied: Logan000
03.03.2009 um 11:28 Uhr
Moin Moin

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.
Allerdings kann der DomAdmin per Gruppenrichtlinie das wieder ändern.
Nun meine Frage: kann ich mit einer lokalen Firewall (...) auf dem zu schützenden Memberserver die Durchsetzung von Gruppenrichtlinien verhindern, und wenn ja, WIE?
Wozu? Habt Ihr irgendwie Streit oder so?
Was Du das vorhast ist bestenfalls Problematisch und wie ich vermuten möche in dieser Form nmöglich (evtl mit einem Trust zwischen 2 Domänen).
Was ist mit den Einstellungen der Default Domain Pol., usw.?

Sprecht euch ab, legt fest wer was macht und gebt euren Benutzerkonten entsprechende Rechte.

Gruß L.
Bitte warten ..
Mitglied: laster
03.03.2009 um 12:16 Uhr
Hallo Logan000,

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.

Mich interessiert jetzt halt, ob es eine technische Lösung gibt.

Was ist mit den Einstellungen der Default Domain Pol., usw.?

Die kann der DomAdmin doch nach belieben ändern...

Meine Idee ist: auf dem Memberserver die DomAdmins aus der Gruppe der lokalen Admins entfernen.

Das funktioniert im Test. Aber wie kann ich verhindern, dass der DomAdmin das per GP wieder ändert?
Entweder mit einer lokalen Firewall... oder mit einen Task, der alle 5 Minuten "net localgroup administratoren xxx\domain-admins /Delete" ausführt?
Jede Lösung ist Mist, aber ich brauch von denen die Beste

VG L.
Bitte warten ..
Mitglied: Logan000
03.03.2009 um 13:06 Uhr
Moin Moin

Du hast Recht, es gibt da Interessenskonflikte, diese sind aber Fakt. Da gibt es keine organisatorische Lösung.
Was ich versucht habe dir zu sagen ist das es aus meiner Sicht nur eine Organisatorische Lösung gibt (zumindest solange dein Server in der gleichen Domäne ist).
Es sei denn es ist dir egal ob die Kiste läuft oder nicht.
Auf XP/2003 werden die GPOs duch den WINLOGON Prozess in der Registry gesetzt
Du müsstest also (so wie ich das sehe) dem System Konto den Schreibzugriff auf die Registry entziehen. Und das soltest du nicht tun
Wenn Du befürchtest Dein ""Kollege" legt deinen Server lahm.,dann ist das zwar Scheiße von Ihm, aber besser als wenn Du es selber tust!

Der Task mit "net localgroup..." wäre auch zu umgehen aber wohl weitesgehend unkritisch.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Tethering oder "mobiler Hotspot" im LAN verhindern - überhaupt möglich? (15)

Frage von kartoffelesser zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Aktuelle Liste der Gruppenrichtlinien (4)

Frage von supertux zum Thema Windows Server ...

Windows Server
gelöst Hintergrundbild per Gruppenrichtlinien wird nicht aktualisiert (5)

Frage von florianza zum Thema Windows Server ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (29)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen (13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...