8
Mehrere Administratoren in Windows Domäne
Hallo an alle da draußen!
Ich bin auf der Suche nach Klartext Informationen über die Handhabung von mehreren MS-Windows Administratoren in einer Domäne.
Folgende Erläuterung:
eine Firma mit einem "hausinternen Administrator" / Angestellter,
einem langjährigen externen Administrator,
und einer Firma die Programmierarbeiten tätigt und ebenfalls das Administrator-Passwort erhalten hat.
Der Chef des Hauses möchte dies nun trennen, indem der Angestellte zum eigentlichen Administrator dieser Domäne wird.
Der langjährige externene Administrator sowie die Programmier-Firma sollen vollen Zugriff auf mehrere Server und alle Arbeitsstationen haben.
Sie sollen aber nicht an alle Daten und Server herankommen können (z.B. Buchhaltung/Personalwesen).
Ich weis, dass es eine Möglichkeit der Trennung gibt, wenn wir Unterdomänen bilden würden ( wir stoßen hier aber auf Abneigung).
Ein Nicht-Windows System finden wir hier nicht.
Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte zurückholen können!
Vielen Dank für Eure Fragen/Anregungen und Informationen
Chrissy
Ich bin auf der Suche nach Klartext Informationen über die Handhabung von mehreren MS-Windows Administratoren in einer Domäne.
Folgende Erläuterung:
eine Firma mit einem "hausinternen Administrator" / Angestellter,
einem langjährigen externen Administrator,
und einer Firma die Programmierarbeiten tätigt und ebenfalls das Administrator-Passwort erhalten hat.
Der Chef des Hauses möchte dies nun trennen, indem der Angestellte zum eigentlichen Administrator dieser Domäne wird.
Der langjährige externene Administrator sowie die Programmier-Firma sollen vollen Zugriff auf mehrere Server und alle Arbeitsstationen haben.
Sie sollen aber nicht an alle Daten und Server herankommen können (z.B. Buchhaltung/Personalwesen).
Ich weis, dass es eine Möglichkeit der Trennung gibt, wenn wir Unterdomänen bilden würden ( wir stoßen hier aber auf Abneigung).
Ein Nicht-Windows System finden wir hier nicht.
Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte zurückholen können!
Vielen Dank für Eure Fragen/Anregungen und Informationen
Chrissy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 236118
Url: https://administrator.de/contentid/236118
Printed on: April 19, 2024 at 17:04 o'clock
8 Comments
Latest comment
Moin,
gibt mWn nur eine Antwort:
Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
Vielleicht würde das gehen:
Server für Buchhaltung und Personalwesen.
Dort dem externen und der Firma die Anmeldemöglichkeit nehmen, was nicht ganz einfach ist und ich mir nicht sicher bin, ob man einem Admin das Recht überhaupt nehmen kann.
Dann müssen alle Freigaben so angepasst werden, dass ein Domänenadmin dort kein Zugriff hat etc.
Gruß
gibt mWn nur eine Antwort:
Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
Vielleicht würde das gehen:
Server für Buchhaltung und Personalwesen.
Dort dem externen und der Firma die Anmeldemöglichkeit nehmen, was nicht ganz einfach ist und ich mir nicht sicher bin, ob man einem Admin das Recht überhaupt nehmen kann.
Dann müssen alle Freigaben so angepasst werden, dass ein Domänenadmin dort kein Zugriff hat etc.
Gruß
2
Moin.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und walten" und in der Domain keinen Unfug anrichten.
@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos "DOMAIN\Administrator" ändern.
Cheers,
jsysde
Zitat von @Xaero1982:
[...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.[...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und walten" und in der Domain keinen Unfug anrichten.
@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos "DOMAIN\Administrator" ändern.
Cheers,
jsysde
Zitat von @Chrissy:
Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte
zurückholen können!
Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte
zurückholen können!
Moin,
Du willst Dich waschen ohen Dich naß zu machen? Geht, indem man z.B. Sandstrahler nimmt, aber da ist auch nicht die Lösung. Aber nun zu Deinem konkreten Problem:
Du kannst für jeden ein eigens konto machen. Du nimmst entweder ein Admin-konto und entziehst dem bestimmte rechte oder Du nimmst ein user-konto und gibst dem zusätzliche rechte.
das einfachste ist, durch ACLs den zusätzlichen Admins bestimmte Zugriffe zu sperren. Allerdings hält das diese nciht davon ab, sich die Rechte wiederzuholen, was man aber durch enstprechenden Meldungen protokollieren kann udn wenn man das richtig macht, kann man sogar die gelbe Blinkleuchte mit Sirene dabei leuchten lassen.
Wichtiger ist imho, vertraglich festzulegen, was gemacht werden darf udn was nciht udn ggf. Konventionalstrafen dafür festzulegen.
lks
Zitat von @jsysde:
Moin.
> Zitat von @Xaero1982:
> [...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
> Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und
walten" und in der Domain keinen Unfug anrichten.
@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer
aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal
auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos
"DOMAIN\Administrator" ändern.
Cheers,
jsysde
Moin.
> Zitat von @Xaero1982:
> [...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
> Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und
walten" und in der Domain keinen Unfug anrichten.
@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer
aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal
auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos
"DOMAIN\Administrator" ändern.
Cheers,
jsysde
Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese Gruppen zu stecken?
Wie lks auch sagte kannst du das evtl. protokollieren, aber das wars dann auch schon.
Verschwiegenheitserklärung unterschreiben lassen und den Zugriff dort vertraglich untersagen.
Gruß
2
1
Moin.
Wenn ich lokale Admin-Rechte auf einem Domain-Rechner habe, kann ich mich _NICHT!_ zum Mitglied von irgendeiner AD-Gruppe machen, auch und schon gar nicht zum Mitglied von "Domain Admins".
Cheers,
jsysde
Zitat von @Xaero1982:
[...]Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese
Gruppen zu stecken?
Ich meine nicht, ich weiß. [...]Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese
Gruppen zu stecken?
Wenn ich lokale Admin-Rechte auf einem Domain-Rechner habe, kann ich mich _NICHT!_ zum Mitglied von irgendeiner AD-Gruppe machen, auch und schon gar nicht zum Mitglied von "Domain Admins".
Cheers,
jsysde
1
Hallo,
man sollte niemals die Zugangsdaten für User "Administrator" deindomain.de an dritte weitergeben.
Am besten erstellt man eine OU Gruppe und fügt einzelne User hin zu. Diese Gruppe wird dann per Group Policy auf Domain Rechner und Server verteilt. Die Mitglieder dieser Gruppe bekommen lokale Admin Rechte auf allen Rechnern und man kann Rechte für administrative Aufgaben separat einstellen. Z.Bsp. in dem man diese Gruppe zur Gruppe "DHCP Administrators" hinzufügt.
Mit dem administrator@deindomain.de User sollte man nur wenige administrative Aufgaben erledigen und niemals für tägliche Arbeit verwenden.
man sollte niemals die Zugangsdaten für User "Administrator" deindomain.de an dritte weitergeben.
Am besten erstellt man eine OU Gruppe und fügt einzelne User hin zu. Diese Gruppe wird dann per Group Policy auf Domain Rechner und Server verteilt. Die Mitglieder dieser Gruppe bekommen lokale Admin Rechte auf allen Rechnern und man kann Rechte für administrative Aufgaben separat einstellen. Z.Bsp. in dem man diese Gruppe zur Gruppe "DHCP Administrators" hinzufügt.
Mit dem administrator@deindomain.de User sollte man nur wenige administrative Aufgaben erledigen und niemals für tägliche Arbeit verwenden.
2
Hi.
Weitere Gesichtspunkte: Da Windows vor Version 8.1/2012 R2 ein grausiges Sicherheitsleck hat (Kerberos-Designschwäche, siehe Sicherheitsprobleme von Kerberos - unbedingt lesen), ist das gemeinsame Administrieren von Servern eine riskante Sache.
Klartext: wenn ich Admin auf Deinem Server bin, kann ich jederzeit das Klartextpasswort aller seit dem letzten Neustart angemeldeter Nutzer auslesen, natürlich auch die der anderen Admins. Willst Du das? Ich schätze nicht.
Wenn Ihr also isolieren wollt (Admin1 administriert nur Server A und B...), dann bleibt Euch nichts anderes, als zwischen Not und Übel zu wählen:
-Subdomains (wollt Ihr nicht)
-diese Server komplett den Externen überlassen und selbst gar nicht raufgehen, zumindest nicht mit Konten, die anderweitig im Netzwerk was zu sagen haben
-Alles und Jedes Überwachen und möglichst noch zum Abmildern Win8.1/2012 R2 ausrollen.
Das ist jetzt eine Ansage, für den Fall, dass Ihr es ernst meint und nicht nur ein Chef sich sagt "ach, wäre ja ganz schön, wenn...".
Weitere Gesichtspunkte: Da Windows vor Version 8.1/2012 R2 ein grausiges Sicherheitsleck hat (Kerberos-Designschwäche, siehe Sicherheitsprobleme von Kerberos - unbedingt lesen), ist das gemeinsame Administrieren von Servern eine riskante Sache.
Klartext: wenn ich Admin auf Deinem Server bin, kann ich jederzeit das Klartextpasswort aller seit dem letzten Neustart angemeldeter Nutzer auslesen, natürlich auch die der anderen Admins. Willst Du das? Ich schätze nicht.
Wenn Ihr also isolieren wollt (Admin1 administriert nur Server A und B...), dann bleibt Euch nichts anderes, als zwischen Not und Übel zu wählen:
-Subdomains (wollt Ihr nicht)
-diese Server komplett den Externen überlassen und selbst gar nicht raufgehen, zumindest nicht mit Konten, die anderweitig im Netzwerk was zu sagen haben
-Alles und Jedes Überwachen und möglichst noch zum Abmildern Win8.1/2012 R2 ausrollen.
Das ist jetzt eine Ansage, für den Fall, dass Ihr es ernst meint und nicht nur ein Chef sich sagt "ach, wäre ja ganz schön, wenn...".
