Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eingeschränkte Administratorrechte

Frage Microsoft Windows Userverwaltung

Mitglied: IceMan1986

IceMan1986 (Level 1) - Jetzt verbinden

19.06.2007, aktualisiert 10:11 Uhr, 4873 Aufrufe, 4 Kommentare

hy Leute,
ich habe einen Windows 2003 Server mit Active Directory in einer Außenstelle. Ich bin dort Administrator.
Die außenstelle möchte aber mehrere Benutzer anlegen und diese auch verwalten können.
Da ich nicht jedes mal rüberrennen will um einen Benutzer anzulegen, möchte ich einen Administrator mit sehr eingeschränkten Rechten vergeben, der eig. nicht mehr darf als Benutzer anlegen, löschen, Passwörter zurückzusetzen.

Also die ganz simple Benutzerverwaltung.
Rr soll keinen Zugriff auf irgendwelche Ordner am Server haben oder sich mit $ Freigabe auf andere Rechner verbinden usw., wirklich nur die Benutzerverwaltung.

Ich habe mir zwar die erweiterten Berechtigungen angeschaut die man vergeben kann, aber das sind ja endlos lange Listen und da genau das richtige auszuwählen ohne was zu vergessen ist sicher nicht ganz leicht.

gibt es vl. irgendein Tool oder verdefinierte Gruppen die man runterladen kann die genau das dürfen oder könnt ihr mir sonst irgendwie weiterhelfen ???


Grüße
Sascha
Mitglied: D.T.Soko
19.06.2007 um 09:05 Uhr
Hallo iceman,

Mit dem AD und den Berechtigungen kann ich dir nicht weiterhelfen aber meine Meinung dazu kann ich dir geben:

Also bitte nicht böse sein aber beim besten willen nein...
Stell dir einfach mal vor, die ändern das Adminkennwort (dann haben sie einen User und ein Passwort mit dem sie alles machen können!!!).

Egal was die Kollegen auf der aussenstelle Sagen: Das größte Sicherheitsrisiko im Netz ist immer und wird auch immer der Mensch sein (einfach mal so als anregung zum nachlesen http://de.wikipedia.org/wiki/Social_Engineering).

Des weiteren hast du das Problem, wenn die Kollegen in der Aussenstelle zu viele User erstellen dann musst du ständig neue Lizensen kaufen.

Da du selber sagst, dass dich das "rüberrennen" aufregt könntest du das ganze ja per RemoteDesktop vom SBS. Dann bist du direkt auf dem Server und kannst die User anlegen und löschen usw. läufst aber nicht Gefahr das irgendjemand was falsch macht, ausser dir.

Wir hatten in meiner Firma am Anfang die Konstellation, dass ein Kollege der keine Ahnung hatte wie man Systeme mit system bedient, die Berechtigungen vergeben hat. Das Ergebniss war eine AS400, auf der jeder User Berechtigungen für einzelne Dateien bekommen hat (also keine einzige Gruppe). Als ich dann die Berechtigungsstruktur änderte hatte ich spass mit über 60000 Dateien....

Andere Frage:
Müsst ihr eigentlich in eurer Firma dokumentieren was ihr macht?

Mit freundlichen Grüßen
d.t.soko
Bitte warten ..
Mitglied: IceMan1986
19.06.2007 um 09:13 Uhr
hi, also das mit den lizenzen kann ich zurückwerfen weil dort steht ein server und 4 user pcs, es soll so eine art "internetcafe" werden bei dem aber immer die selben leute kommen, also bekommen die alle einen eigenen user.

und das mit dem administrator hab ich ja so gemeint dass er eben nur die selbst erstellten benutzer editieren kann und nicht den administrator rechte wegen, pw zurücksetzen oder sich selbst mehr rechten geben kann.

das mit remotedesktop zu administrieren ist mir auch in den sinn gekommen, allerdings verbietet unsere security policy das, hab darüber auch schon mit meinem chef gesprochen aber da ist nix zu machen

ich weiß das is etwas kompliziert aber ich hoffe trotzdem dass es dafür eine lösung gibt.
Bitte warten ..
Mitglied: D.T.Soko
19.06.2007 um 09:50 Uhr
Hallo nochmal,

ja das is ja ein sch***...

Ok helfen könnte ich mit einem Batch für die Userverwaltung dazu ein Program namens SteelRunas. Dann führt der User eine Exe als z.b. Admin aus ohne was davon zu wissen. Die Exe führt dann den Befehl "net user" aus. Damit er nur seine User ändern kann müsste man die entsprechenden User in das Menü reinmachen.

Vorab die Frage hättest du dann die Möglichkeit die Batch-Datei von deinem Rechner aus zu verändern? Wenn ja würde ich es so machen (weil mit AD verbringt man mehr Zeit wie mit Batchscripten).

Mit freundlichen Grüßen
d.t.soko
Bitte warten ..
Mitglied: IceMan1986
19.06.2007 um 10:11 Uhr
das is wohl ein bisschen zu kompliziert, weil das wieder aufwand von meiner seite her bedeutet und das dem jenigen erklärt werden muss.

nur nochmal zur erklärung, diese außenstelle, hat im prinzip nicht wirklich was mit unseren netzwerk zu tun und wir sind auch nicht verbunden, die haben eine eigene internetleitung.

im prinzip is mir fast egal was die da drüber machen, nur sind das unsere geräte die dort stehen und wenn mal was nicht funktioniert muss ich rüber.
deshalb hab ich dort einen server aufgesetzt mit 4 clients.
sie dürfen nicht in pornografische, rechtsradikale seiten usw. und dass dort nicht zu viel unsinn passiert bleibe ich auch admin.
nur brauch ich hald wen der dann die user verwaltet und mehr auch nicht, weil der rest passiert eh automatisch.

ich möchte jetzt ehrlich gesagt nicht irgendwas mit batch programmen experimentieren, sondern das mit den AD benutzerrechten hinbekommen, weil ich weiß dass es irgendwie geht.

aber danke für deine hilfe, vl weiß ja sonst jemand ob man es da irgendwelche vordefinierten gruppen gibt die man sich runterladen kann oder so irgendwas .....
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Programm ohne UAC und Administratorrechte starten (3)

Anleitung von agowa338 zum Thema Sicherheitsgrundlagen ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...