Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mehrere Administratoren in Windows Domäne

Frage Microsoft Windows Userverwaltung

Mitglied: Chrissy

Chrissy (Level 1) - Jetzt verbinden

22.04.2014 um 11:34 Uhr, 3901 Aufrufe, 8 Kommentare, 3 Danke

Hallo an alle da draußen!

Ich bin auf der Suche nach Klartext Informationen über die Handhabung von mehreren MS-Windows Administratoren in einer Domäne.

Folgende Erläuterung:
eine Firma mit einem "hausinternen Administrator" / Angestellter,
einem langjährigen externen Administrator,
und einer Firma die Programmierarbeiten tätigt und ebenfalls das Administrator-Passwort erhalten hat.

Der Chef des Hauses möchte dies nun trennen, indem der Angestellte zum eigentlichen Administrator dieser Domäne wird.
Der langjährige externene Administrator sowie die Programmier-Firma sollen vollen Zugriff auf mehrere Server und alle Arbeitsstationen haben.
Sie sollen aber nicht an alle Daten und Server herankommen können (z.B. Buchhaltung/Personalwesen).

Ich weis, dass es eine Möglichkeit der Trennung gibt, wenn wir Unterdomänen bilden würden ( wir stoßen hier aber auf Abneigung).
Ein Nicht-Windows System finden wir hier nicht.

Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte zurückholen können!


Vielen Dank für Eure Fragen/Anregungen und Informationen
Chrissy
Mitglied: Xaero1982
22.04.2014 um 11:38 Uhr
Moin,

gibt mWn nur eine Antwort:

Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.

Vielleicht würde das gehen:
Server für Buchhaltung und Personalwesen.
Dort dem externen und der Firma die Anmeldemöglichkeit nehmen, was nicht ganz einfach ist und ich mir nicht sicher bin, ob man einem Admin das Recht überhaupt nehmen kann.
Dann müssen alle Freigaben so angepasst werden, dass ein Domänenadmin dort kein Zugriff hat etc.

Gruß
Bitte warten ..
Mitglied: jsysde
22.04.2014 um 11:45 Uhr
Moin.
Zitat von Xaero1982:
[...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und walten" und in der Domain keinen Unfug anrichten.

@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos "DOMAIN\Administrator" ändern.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
22.04.2014 um 11:45 Uhr
Zitat von Chrissy:

Wie also kann ich die Administratoren unterteilen bzw. in ihren Rechten beschränken? - ohne dass sie sich die Rechte
zurückholen können!

Moin,

Du willst Dich waschen ohen Dich naß zu machen? Geht, indem man z.B. Sandstrahler nimmt, aber da ist auch nicht die Lösung. Aber nun zu Deinem konkreten Problem:

Du kannst für jeden ein eigens konto machen. Du nimmst entweder ein Admin-konto und entziehst dem bestimmte rechte oder Du nimmst ein user-konto und gibst dem zusätzliche rechte.

das einfachste ist, durch ACLs den zusätzlichen Admins bestimmte Zugriffe zu sperren. Allerdings hält das diese nciht davon ab, sich die Rechte wiederzuholen, was man aber durch enstprechenden Meldungen protokollieren kann udn wenn man das richtig macht, kann man sogar die gelbe Blinkleuchte mit Sirene dabei leuchten lassen.

Wichtiger ist imho, vertraglich festzulegen, was gemacht werden darf udn was nciht udn ggf. Konventionalstrafen dafür festzulegen.

lks
Bitte warten ..
Mitglied: Xaero1982
22.04.2014 um 11:48 Uhr
Zitat von jsysde:

Moin.
> Zitat von Xaero1982:
> [...]Es gibt keine Möglichkeit. Wenn jemand Administratorrechte auf dem Server hat kommt er an alles ran.
> Wie man es dreht und wendet.
So ganz richtig ist das nicht. Wenn ich jemanden zum Domain Admin mache, ok, dann kann er sich überall Zugriff verschaffen.
Mache ich ihn aber nur zum lokalen Admin auf einem bestimmten Server, kann er nur auf dieser Server "schalten und
walten" und in der Domain keinen Unfug anrichten.

@Chrissy:
Keine "Unterdomänen" notwendig, s. meine Erklärung oben => einfach den externen Admin und die Programmierer
aus der Gruppen "Domain Admins" (und Schema Admins, Enterprise Admins etc; falls sie da drin sind) entfernen und lokal
auf den Maschinen in die Administratoren packen, auf denen Sie Zugriff haben sollen. Und natürlich das Passwort des Kontos
"DOMAIN\Administrator" ändern.

Cheers,
jsysde

Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese Gruppen zu stecken?

Wie lks auch sagte kannst du das evtl. protokollieren, aber das wars dann auch schon.

Verschwiegenheitserklärung unterschreiben lassen und den Zugriff dort vertraglich untersagen.

Gruß
Bitte warten ..
Mitglied: colinardo
22.04.2014, aktualisiert um 11:51 Uhr
Hi,
lässt sich alles regeln: Delegieren von Befugnissen in Active Directory

Grüße Uwe
Bitte warten ..
Mitglied: jsysde
22.04.2014 um 11:51 Uhr
Moin.
Zitat von Xaero1982:
[...]Und du meinst, dass ich mich als lokaler Admin nicht einfach, da ich ja dennoch Zugriff aufs AD habe, das Konto wieder in diese
Gruppen zu stecken?
Ich meine nicht, ich weiß.
Wenn ich lokale Admin-Rechte auf einem Domain-Rechner habe, kann ich mich _NICHT!_ zum Mitglied von irgendeiner AD-Gruppe machen, auch und schon gar nicht zum Mitglied von "Domain Admins".

Cheers,
jsysde
Bitte warten ..
Mitglied: heilgecht
22.04.2014 um 11:55 Uhr
Hallo,

man sollte niemals die Zugangsdaten für User "Administrator" deindomain.de an dritte weitergeben.
Am besten erstellt man eine OU Gruppe und fügt einzelne User hin zu. Diese Gruppe wird dann per Group Policy auf Domain Rechner und Server verteilt. Die Mitglieder dieser Gruppe bekommen lokale Admin Rechte auf allen Rechnern und man kann Rechte für administrative Aufgaben separat einstellen. Z.Bsp. in dem man diese Gruppe zur Gruppe "DHCP Administrators" hinzufügt.
Mit dem administrator@deindomain.de User sollte man nur wenige administrative Aufgaben erledigen und niemals für tägliche Arbeit verwenden.
Bitte warten ..
Mitglied: DerWoWusste
22.04.2014 um 20:37 Uhr
Hi.

Weitere Gesichtspunkte: Da Windows vor Version 8.1/2012 R2 ein grausiges Sicherheitsleck hat (Kerberos-Designschwäche, siehe http://www.administrator.de/wissen/sicherheitsprobleme-von-kerberos-221 ... - unbedingt lesen), ist das gemeinsame Administrieren von Servern eine riskante Sache.
Klartext: wenn ich Admin auf Deinem Server bin, kann ich jederzeit das Klartextpasswort aller seit dem letzten Neustart angemeldeter Nutzer auslesen, natürlich auch die der anderen Admins. Willst Du das? Ich schätze nicht.

Wenn Ihr also isolieren wollt (Admin1 administriert nur Server A und B...), dann bleibt Euch nichts anderes, als zwischen Not und Übel zu wählen:
-Subdomains (wollt Ihr nicht)
-diese Server komplett den Externen überlassen und selbst gar nicht raufgehen, zumindest nicht mit Konten, die anderweitig im Netzwerk was zu sagen haben
-Alles und Jedes Überwachen und möglichst noch zum Abmildern Win8.1/2012 R2 ausrollen.

Das ist jetzt eine Ansage, für den Fall, dass Ihr es ernst meint und nicht nur ein Chef sich sagt "ach, wäre ja ganz schön, wenn...".
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Windows-Domäne und CloudFlare für Webseite (7)

Frage von d4shoerncheN zum Thema Windows Server ...

Windows Server
Anmeldung an neuen Windows Domäne Client nicht möglich (16)

Frage von FlorianN zum Thema Windows Server ...

Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...