Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mehrere Administratoren in Windows Domäne

Frage Microsoft Windows Userverwaltung

Mitglied: Chrissy

Chrissy (Level 1) - Jetzt verbinden

22.04.2014 um 11:34 Uhr, 4365 Aufrufe, 8 Kommentare, 3 Danke

Hallo an alle da draußen!

Ich bin auf der Suche nach Klartext Informationen über die Handhabung von mehreren MS-Windows Administratoren in einer Domäne.

Folgende Erläuterung:
eine Firma mit einem "hausinternen Administrator" / Angestellter,
einem langjährigen externen Administrator,
und einer Firma die Programmierarbeiten tätigt und ebenfalls das Administrator-Passwort erhalten hat.

Der Chef des Hauses möchte dies nun trennen, indem der Angestellte zum eigentlichen Administrator dieser Domäne wird.
Der langjährige externene Administrator sowie die Programmier-Firma sollen vollen Zugriff auf mehrere Server und alle Arbeitsstationen haben.
Sie sollen aber nicht an alle Daten und Server herankommen können (z.B. Buchhaltung/Personalwesen).

Ich weis, dass es eine Möglichkeit der Trennung gibt, wenn wir Unterdomänen bilden würden ( wir stoßen hier aber auf Abneigung).
Ein Nicht-Windows System finden wir hier nicht.

Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte zurückholen können!


Vielen Dank für Eure Fragen/Anregungen und Informationen
Chrissy
Mitglied: Xaero1982
22.04.2014 um 11:38 Uhr
Moin,

gibt mWn nur eine Antwort:

Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.

Vielleicht würde das gehen:
Server für Buchhaltung und Personalwesen.
Dort dem externen und der Firma die Anmeldemöglichkeit nehmen, was nicht ganz einfach ist und ich mir nicht sicher bin, ob man einem Admin das Recht überhaupt nehmen kann.
Dann müssen alle Freigaben so angepasst werden, dass ein Domänenadmin dort kein Zugriff hat etc.

Gruß
Bitte warten ..
Mitglied: jsysde
22.04.2014 um 11:45 Uhr
Moin.
Zitat von Xaero1982:
[...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und walten" und in der Domain keinen Unfug anrichten.

@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos "DOMAIN\Administrator" ändern.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
22.04.2014 um 11:45 Uhr
Zitat von Chrissy:

Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte
zurückholen können!

Moin,

Du willst Dich waschen ohen Dich naß zu machen? Geht, indem man z.B. Sandstrahler nimmt, aber da ist auch nicht die Lösung. Aber nun zu Deinem konkreten Problem:

Du kannst für jeden ein eigens konto machen. Du nimmst entweder ein Admin-konto und entziehst dem bestimmte rechte oder Du nimmst ein user-konto und gibst dem zusätzliche rechte.

das einfachste ist, durch ACLs den zusätzlichen Admins bestimmte Zugriffe zu sperren. Allerdings hält das diese nciht davon ab, sich die Rechte wiederzuholen, was man aber durch enstprechenden Meldungen protokollieren kann udn wenn man das richtig macht, kann man sogar die gelbe Blinkleuchte mit Sirene dabei leuchten lassen.

Wichtiger ist imho, vertraglich festzulegen, was gemacht werden darf udn was nciht udn ggf. Konventionalstrafen dafür festzulegen.

lks
Bitte warten ..
Mitglied: Xaero1982
22.04.2014 um 11:48 Uhr
Zitat von jsysde:

Moin.
> Zitat von Xaero1982:
> [...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
> Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und
walten" und in der Domain keinen Unfug anrichten.

@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer
aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal
auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos
"DOMAIN\Administrator" ändern.

Cheers,
jsysde

Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese Gruppen zu stecken?

Wie lks auch sagte kannst du das evtl. protokollieren, aber das wars dann auch schon.

Verschwiegenheitserklärung unterschreiben lassen und den Zugriff dort vertraglich untersagen.

Gruß
Bitte warten ..
Mitglied: colinardo
22.04.2014, aktualisiert um 11:51 Uhr
Hi,
lässt sich alles regeln: Delegieren von Befugnissen in Active Directory

Grüße Uwe
Bitte warten ..
Mitglied: jsysde
22.04.2014 um 11:51 Uhr
Moin.
Zitat von Xaero1982:
[...]Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese
Gruppen zu stecken?
Ich meine nicht, ich weiß.
Wenn ich lokale Admin-Rechte auf einem Domain-Rechner habe, kann ich mich _NICHT!_ zum Mitglied von irgendeiner AD-Gruppe machen, auch und schon gar nicht zum Mitglied von "Domain Admins".

Cheers,
jsysde
Bitte warten ..
Mitglied: heilgecht
22.04.2014 um 11:55 Uhr
Hallo,

man sollte niemals die Zugangsdaten für User "Administrator" deindomain.de an dritte weitergeben.
Am besten erstellt man eine OU Gruppe und fügt einzelne User hin zu. Diese Gruppe wird dann per Group Policy auf Domain Rechner und Server verteilt. Die Mitglieder dieser Gruppe bekommen lokale Admin Rechte auf allen Rechnern und man kann Rechte für administrative Aufgaben separat einstellen. Z.Bsp. in dem man diese Gruppe zur Gruppe "DHCP Administrators" hinzufügt.
Mit dem administrator@deindomain.de User sollte man nur wenige administrative Aufgaben erledigen und niemals für tägliche Arbeit verwenden.
Bitte warten ..
Mitglied: DerWoWusste
22.04.2014 um 20:37 Uhr
Hi.

Weitere Gesichtspunkte: Da Windows vor Version 8.1/2012 R2 ein grausiges Sicherheitsleck hat (Kerberos-Designschwäche, siehe http://www.administrator.de/wissen/sicherheitsprobleme-von-kerberos-221 ... - unbedingt lesen), ist das gemeinsame Administrieren von Servern eine riskante Sache.
Klartext: wenn ich Admin auf Deinem Server bin, kann ich jederzeit das Klartextpasswort aller seit dem letzten Neustart angemeldeter Nutzer auslesen, natürlich auch die der anderen Admins. Willst Du das? Ich schätze nicht.

Wenn Ihr also isolieren wollt (Admin1 administriert nur Server A und B...), dann bleibt Euch nichts anderes, als zwischen Not und Übel zu wählen:
-Subdomains (wollt Ihr nicht)
-diese Server komplett den Externen überlassen und selbst gar nicht raufgehen, zumindest nicht mit Konten, die anderweitig im Netzwerk was zu sagen haben
-Alles und Jedes Überwachen und möglichst noch zum Abmildern Win8.1/2012 R2 ausrollen.

Das ist jetzt eine Ansage, für den Fall, dass Ihr es ernst meint und nicht nur ein Chef sich sagt "ach, wäre ja ganz schön, wenn...".
Bitte warten ..
Ähnliche Inhalte
Windows Server
Kennwort für Administrator bei neuer Domäne
gelöst Frage von burg.dWindows Server6 Kommentare

Hallo Zusammen, Wir haben hier ein komisches Problem. Fabrikneuer Server wird mit Windows Server 2012 R2 installiert. Dannach wird ...

Off Topic
Verdienen Administratoren oder Programmierer mehr ?
gelöst Frage von ichigo77Off Topic8 Kommentare

Hallo, Das ist vlt. ne dumme Frage , aber ich steh gerade vor einer wichtigen Entscheidung. Ich studiere Media ...

Windows Netzwerk
Mehrere Windows PCs gleichzeitig zur Domäne
gelöst Frage von PharITWindows Netzwerk4 Kommentare

Hallo allerseits, in meiner Testumgebung wollte ich gerade 4 virtuelle PCs aufsetzen und zur Domäne hinzufügen. Ist es in ...

Windows Userverwaltung
Domänen-Administrator Passwort ändern ohne Wirkung
gelöst Frage von conquestadorWindows Userverwaltung4 Kommentare

Hallo liebe Kollegen, ich betreue unter anderem einen Kunden, wo es mal wieder Zeit ist, aus Sicherheitsgründen die Passwörter ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 StundeWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 3 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...