Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

User mit Installrechten auf DC

Frage Microsoft Windows Userverwaltung

Mitglied: menac20

menac20 (Level 1) - Jetzt verbinden

20.10.2009, aktualisiert 16:13 Uhr, 2672 Aufrufe, 7 Kommentare

Hallo

Folgendes Szenario

Bei uns soll eine neue Software Installiert werden.
Wir haben 2 Server (beide DC´s)
Auf einem der beiden soll jetzt Filemaker und besagte Datenbank installeirt werden.

Die Firma möchte das ganze Remote machen und auch zukünftig Remote warten (eh eine nette Sache)


Also VPN Tunnel => Zugriff auf den DC1... soweit so gut alles kein Problem

Nur er braucht Lokale Admin Rechte weil er ja installieren muss. Alles klar geht nicht weil DC keine Lokalen Admins hat

Domain Admin find ich ein wenig übertrieben.
Er darf nicht auf die Dateien zugreifen können, sondern Install Rechte haben und dann halt auf sein zugehöriges Verzeichniss

Welche Rolle soll ich Ihn nun geben? Wie schränke ich ihn ein, ausser mit Gruppenrichtlinien für DC´s bzw für die Domäne, denn hier kann ich nicht alles einstellen !

danke
menac
Mitglied: john-doe
20.10.2009 um 16:35 Uhr
Grundsatzfrage: Hat die Gruppe "Administratoren" oder der Benutzer "Administrator" Zugriff auf die Daten?

Meiner Ansicht nach gibts eine einfache Lösung.
Gruppe Externe-Admins anlegen und Zugriff auf Daten verweigern.
Dann einen Benutzer XYZ anlegen mit Domainadminrechte und der Gruppe Externe-Admins zuordnen.

Soweit ich weis steht "verweigern" höher als "erlauben".

... mal so eine Theorie.

Bin aber sicher das du mit den Lokalen Sicherheitsrichtlinen auch was erreichen kannst.


LG
Bitte warten ..
Mitglied: DerWoWusste
20.10.2009 um 20:19 Uhr
Es ist die alte Leier - Admins zu beschränken geht nicht 100%ig, meist nicht mal ausreichend. Ich würde über einen weiteren Server nachdenken.
Bitte warten ..
Mitglied: john-doe
20.10.2009 um 21:42 Uhr
Der Kollege DerWoWusste hat schon recht. 100%ig einen Admin einschränken ist fast unmöglich.

Entweder vertraut man der Firma die Remote zugreift, oder man lässt keinen (unbeaufsichtigten) Remotezugriff zu.
So machen wir das bei unseren Kunden.
Da haben nur wir als Externe IT-Abteilung Zugriff und wenn einer von der WaWi-Firma
drauf will starten wir die Fernwartungssoftware und schauen ihm über die Schulter.

LG
Bitte warten ..
Mitglied: 60730
21.10.2009 um 01:03 Uhr
Zitat von DerWoWusste:
Es ist die alte Leier - Admins zu beschränken geht nicht 100%ig, meist nicht mal ausreichend.
Ich würde über einen weiteren Server nachdenken.

Die Alte Leier und dann auch noch erschwerend mit Filemaker...

Wer Filemaker unter Winblows kennt....

Ergo:

"DerWowußte" bedeutet mal wieder "Nomen est Omen" - alles andere - als seinen Tipp befolgen -ist wie vorm Abgrund stehen und zwei Schritte nach vorne machen.
(grade - wenn der DB Wartungsheini ein externer ist)

Gruß
Bitte warten ..
Mitglied: menac20
21.10.2009 um 09:06 Uhr
naja einschränken kann ich ihn schon. er kann sich aber jede berechtigung auch wieder geben :D
is mir auch klar...

hab ausch schon alles gute zu filemaker gwunschen..... naja.

irgendwelche wintools gibts nicht?
#
Bitte warten ..
Mitglied: 60730
21.10.2009 um 10:54 Uhr
Moin,

nochmal klar und deutlich:

Ihr habt ein Problem:

Das Problem ist nicht unbedingt der externe mit Domainadminrechten....
Das Problem ist Filemaker - hast du eine Ahnung, was der an Leistung saugt?

Datenbankserver==eigener Rechner..


Gruß
Bitte warten ..
Mitglied: menac20
21.10.2009 um 10:58 Uhr
@ timo

danke das ist mir bewusst, trag aber nicht zur lösung meines eigenem problems teil!
Bitte warten ..
Ähnliche Inhalte
Windows 7
gelöst Batch für User-TEMP-Ordner und Inhalte löschen (2)

Frage von planetIT2016 zum Thema Windows 7 ...

Batch & Shell
gelöst Powershell - User Remote abmelden (4)

Frage von Bugger zum Thema Batch & Shell ...

Windows Server
GPO um zu verhindern, dass User freigegebene Drucker hinzufügen? (2)

Frage von eastfrisian zum Thema Windows Server ...

Windows Server
GPO auf User-OU greift nicht (1)

Frage von eastfrisian zum Thema Windows Server ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Zwei Subnetze mit je eigenem Router und Internetzugang verbinden (17)

Frage von hannsgmaulwurf zum Thema LAN, WAN, Wireless ...

Windows Server
WIndows Server 2016 core auf dem Intel NUC NUC5i5RYK i5 5250U (17)

Frage von IxxZett zum Thema Windows Server ...

Windows Server
gelöst Einzelnes Windows Update über GPO deinstallieren (16)

Frage von lordofremixes zum Thema Windows Server ...