117455
Mar 21, 2015, updated at 15:53:12 (UTC)
2239
10
0
Einzelnen oder mehrer Admins?
Hallo Community,
Wäre es sinnvoll in einer Domain einen Zentralen Admin zu haben oder mehrere Adminskonten für jeden Admin zu haben??
LG
DerWindowsFreak
Wäre es sinnvoll in einer Domain einen Zentralen Admin zu haben oder mehrere Adminskonten für jeden Admin zu haben??
LG
DerWindowsFreak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 267040
Url: https://administrator.de/contentid/267040
Printed on: April 24, 2024 at 06:04 o'clock
10 Comments
Latest comment
Hallo,
sicher zugehen, würde ich dazu tendieren ein Adminkonto für jeden Admin
zu haben.
Gruß
Dobby
Wäre es sinnvoll in einer Domain einen Zentralen Admin zu haben oder
mehrere Adminskonten für jeden Admin zu haben??
Es gibt Vor und Nachteile bei beiden Lösungen, nur um auf Nummermehrere Adminskonten für jeden Admin zu haben??
sicher zugehen, würde ich dazu tendieren ein Adminkonto für jeden Admin
zu haben.
Gruß
Dobby
Weißt du denn, in es zum Beispiel die Möglickkeit gäbe, es festzulegen z.b. Adnin1 darf nur Computer ins AD heben. Admin2 darf nur am Server arbeiten, Admin3 nur an ClientPCs .... Gäbe es da eine Möglickheit
Herzliche und gleichzeitig verregnete Grüßen aus dem Norden
Der Windows Freak
Herzliche und gleichzeitig verregnete Grüßen aus dem Norden
Der Windows Freak
Hallo,
Gruß,
Peter
Zitat von @117455:
Adnin1 darf nur Computer ins AD heben.
Das müsste auch ein Domänen Benutzer dürfen (Standard), zwar nicht beliebig oft....Adnin1 darf nur Computer ins AD heben.
Admin2 darf nur am Server arbeiten
Lokal, RDP, Teamviwer?Gäbe es da eine Möglickheit
Klar, schau dir die (Lokalen) Berechtigungen an. GPO wird dir auch helfen.Gruß,
Peter
Hallo nochmal,
Denn ein Admin ist eben ein Admin und der darf in der Regel alles!
Stell Dir mal vor Du fährst in den Urlaub und ich mache für Dich die Urlaubsvertretung
Und wie soll das dann funktionieren???
Nur bei ganz großen Unternehmen oder aber bei sehr vielen Servern und Geräten
hat man dann eine sinnvolle Aufteilung der Bereiche, also Serveradmin, Backupadmin, Switchadmin, Firewalladmin oder zusammen Netzwerkadmin, usw......
Gruß
Dobby
Weißt du denn, in es zum Beispiel die Möglickkeit gäbe, es festzulegen z.b. Adnin1
darf nur Computer ins AD heben. Admin2 darf nur am Server arbeiten, Admin3 nur an
ClientPCs .... Gäbe es da eine Möglickheit
Das ist sicherlich möglich, nur das ist dann auch schon wieder so eine Sache für sich!darf nur Computer ins AD heben. Admin2 darf nur am Server arbeiten, Admin3 nur an
ClientPCs .... Gäbe es da eine Möglickheit
Denn ein Admin ist eben ein Admin und der darf in der Regel alles!
Stell Dir mal vor Du fährst in den Urlaub und ich mache für Dich die Urlaubsvertretung
Und wie soll das dann funktionieren???
Nur bei ganz großen Unternehmen oder aber bei sehr vielen Servern und Geräten
hat man dann eine sinnvolle Aufteilung der Bereiche, also Serveradmin, Backupadmin, Switchadmin, Firewalladmin oder zusammen Netzwerkadmin, usw......
Herzliche und gleichzeitig verregnete Grüßen aus dem Norden
Fast sonnige grüße aus Niedersachsen zurück.Gruß
Dobby
Servus,
wir können mehrere Admin-Konten nutzen, was jedoch aus Vereinfachungsgründen meist nicht geschieht.
Zudem meckert manche Branchensoftware, wenn die Installion nicht mit dem Original-Admin erledigt wurde, in seltenen Fällen an, dass die Installation angeblich nicht fehlerfrei war.
Gruß,
VGem-e
wir können mehrere Admin-Konten nutzen, was jedoch aus Vereinfachungsgründen meist nicht geschieht.
Zudem meckert manche Branchensoftware, wenn die Installion nicht mit dem Original-Admin erledigt wurde, in seltenen Fällen an, dass die Installation angeblich nicht fehlerfrei war.
Gruß,
VGem-e
Danke danke... Ihr bringt mich hier sehr viel weiter bi meiner Ausbildung und deren praktische Umsetzung.
Hi.
Der Thread wird erst zielstrebig werden, wenn Du sagst, was Du erreichen willst und wobei Du diese Admins nutzt, bei dem Support am User-PC, bei der Domänenverwaltung, bei...
Vorab: es muss immer erkennbar bleiben, wer was gemacht hat, soviel muss klar sein. Wenn alle Supporter den selben Admin nutzen, ist das nicht möglich. Es sei denn, Du hast einen Ablauf, der vorsieht, das Konto zu aktivieren und nach dem Supportfall wieder zu deaktivieren - wobei man dann aufzeichnen kann, wer das Konto aktiviert hat.
Einen Grundgerüst für sicheren Benutzersupport habe ich hier als Anleitung versenkt: Sicherer Umgang mit Supportkonten
Der Thread wird erst zielstrebig werden, wenn Du sagst, was Du erreichen willst und wobei Du diese Admins nutzt, bei dem Support am User-PC, bei der Domänenverwaltung, bei...
Vorab: es muss immer erkennbar bleiben, wer was gemacht hat, soviel muss klar sein. Wenn alle Supporter den selben Admin nutzen, ist das nicht möglich. Es sei denn, Du hast einen Ablauf, der vorsieht, das Konto zu aktivieren und nach dem Supportfall wieder zu deaktivieren - wobei man dann aufzeichnen kann, wer das Konto aktiviert hat.
Einen Grundgerüst für sicheren Benutzersupport habe ich hier als Anleitung versenkt: Sicherer Umgang mit Supportkonten
Hallo.
was wirklich sinnvoll ist und die meisten Vorteile bringt, kann ich natürlich auch nicht sagen. Ich kann aber mal hierhinschreiben, wie ich das gelöst habe:
- jeder Admin (aus Fleisch und Blut) ist in der Gruppe der Domänen-Admins, in der Überzeugung, daß diese Admins wissen was sie tun, nichts verkonfigurieren, nichts zerstören und sich auf Ihren Admin-Workstations nicht die Seuche einfangen. Klarer Vorteil: Es ist leichter nachvollziehbar, wer wann was administrativ von seiner Admin-Workstation aus gemacht hat
- eine nicht personifizierte Domänen-Admin-Kennung zum administrativen Anmelden an User-Rechnern (Konsole oder RDP)
- eine nicht personifizierte Domänen-Admin-Kennung zum Anmelden an Servern (Konsole oder RDP)
- eine nicht´personifizierte Domänen-Admin-Kennung für Dienste und geplante Tasks auf Servern
- DER Domänen-Admin, also z. B. "administrator@firmenname.local" wird überhaupt nicht benutzt, das PWD liegt im Tresor
- die lokalen Admin-Konten auf allen Clients und Servern werden in "adm_local" umbenannt und stattdessen ein lokaler User namens "Administrator" angelegt, der nur Gastrechte hat (falls sich ein User mit irgendwelchen Linux-Boot-Tools an der lokalen SAM zu schaffen macht und meint, er müsse das PWD des lokalen Users "administrator" knacken, kann er gerne machen, er hat dann Gastrechte
) - ich kann leider nicht immer an jedem Rechner ausschließen, daß das Bootmenü ausgeschaltet und die lokalen optischen Laufwerke vom Booten ausgeschlossen sind oder booten von USB deaktiviert wurde
Grüße
von
departure69
was wirklich sinnvoll ist und die meisten Vorteile bringt, kann ich natürlich auch nicht sagen. Ich kann aber mal hierhinschreiben, wie ich das gelöst habe:
- jeder Admin (aus Fleisch und Blut) ist in der Gruppe der Domänen-Admins, in der Überzeugung, daß diese Admins wissen was sie tun, nichts verkonfigurieren, nichts zerstören und sich auf Ihren Admin-Workstations nicht die Seuche einfangen. Klarer Vorteil: Es ist leichter nachvollziehbar, wer wann was administrativ von seiner Admin-Workstation aus gemacht hat
- eine nicht personifizierte Domänen-Admin-Kennung zum administrativen Anmelden an User-Rechnern (Konsole oder RDP)
- eine nicht personifizierte Domänen-Admin-Kennung zum Anmelden an Servern (Konsole oder RDP)
- eine nicht´personifizierte Domänen-Admin-Kennung für Dienste und geplante Tasks auf Servern
- DER Domänen-Admin, also z. B. "administrator@firmenname.local" wird überhaupt nicht benutzt, das PWD liegt im Tresor
- die lokalen Admin-Konten auf allen Clients und Servern werden in "adm_local" umbenannt und stattdessen ein lokaler User namens "Administrator" angelegt, der nur Gastrechte hat (falls sich ein User mit irgendwelchen Linux-Boot-Tools an der lokalen SAM zu schaffen macht und meint, er müsse das PWD des lokalen Users "administrator" knacken, kann er gerne machen, er hat dann Gastrechte
) - ich kann leider nicht immer an jedem Rechner ausschließen, daß das Bootmenü ausgeschaltet und die lokalen optischen Laufwerke vom Booten ausgeschlossen sind oder booten von USB deaktiviert wurdeGrüße
von
departure69
2
@departure69
Jedem das Seine, aber Du lebst gefährlich. Auf keinen Fall arbeitet man als Domänenadmin. Auch unpersonalisierte Domänenadmins zu nutzen, ist (wie schon genannt) normalerweise zu verdammen. Dann sprichst Du Linux-Bootdisks an - verschlüssele die Maschinen, dann jucken die dich nicht mehr. Unverschlüsselt listet Dir eine solche Bootdisk sofort auf, dass dein adm_local vorhanden ist und Adminrechte hat
Und Tasks/Dienste als Domänenadmin? Ein weiteres No-Go.
Unbedingt ändern, das fliegt dir um die Ohren und dann wirst Du Dich ernsten Fragen stellen müssen.
Jedem das Seine, aber Du lebst gefährlich. Auf keinen Fall arbeitet man als Domänenadmin. Auch unpersonalisierte Domänenadmins zu nutzen, ist (wie schon genannt) normalerweise zu verdammen. Dann sprichst Du Linux-Bootdisks an - verschlüssele die Maschinen, dann jucken die dich nicht mehr. Unverschlüsselt listet Dir eine solche Bootdisk sofort auf, dass dein adm_local vorhanden ist und Adminrechte hat
Und Tasks/Dienste als Domänenadmin? Ein weiteres No-Go.
Unbedingt ändern, das fliegt dir um die Ohren und dann wirst Du Dich ernsten Fragen stellen müssen.
2
Zitat von @departure69:
- jeder Admin (aus Fleisch und Blut) ist in der Gruppe der Domänen-Admins, in der Überzeugung, daß diese Admins
wissen was sie tun, nichts verkonfigurieren, nichts zerstören und sich auf Ihren Admin-Workstations nicht die Seuche
einfangen. Klarer Vorteil: Es ist leichter nachvollziehbar, wer wann was administrativ von seiner Admin-Workstation aus gemacht
hat
- jeder Admin (aus Fleisch und Blut) ist in der Gruppe der Domänen-Admins, in der Überzeugung, daß diese Admins
wissen was sie tun, nichts verkonfigurieren, nichts zerstören und sich auf Ihren Admin-Workstations nicht die Seuche
einfangen. Klarer Vorteil: Es ist leichter nachvollziehbar, wer wann was administrativ von seiner Admin-Workstation aus gemacht
hat
Ist gefählich als angemeldeter Domainadmin zu arbeiten ;)
- DER Domänen-Admin, also z. B. "administrator@firmenname.local" wird überhaupt nicht benutzt, das PWD
liegt im Tresor
Richtig so !
