4
Domain Admin GPOs
Hallöchen Leute,
wir haben eine GPO-Rule welche auf alle Server/Clients in unserer Domäne verteilt ist. Nun gehe ich gerade den Artikel https://technet.microsoft.com/en-us/library/dn487454.aspx durch und
vergleiche das mit unserer Rule und sehe das die Domain-Admins-Gruppe nicht in:
Richtlinie für alle Server/Workstations in der Domäne:
◦Deny access to this computer from the network
◦Deny log on as a batch job
◦Deny log on as a service
◦Deny log on locally
◦Deny log on through Remote Desktop Services user rights
vorhanden ist, sondern nur ANONYMOUS LOGON und GUESTS
Die Rule für die DCs sieht so aus das in den o.g. 5 Punkten folgendes konfigurirt ist:
◦Deny access to this computer from the Network (Local Account, Guests)
◦Deny log on as a batch Job (Guests)
◦Deny log on as a Service (Guests)
◦Deny log on locally (Guests)
◦Deny log on through Remote Desktop Services user rights (Local Account, Guests)
wir haben eine GPO-Rule welche auf alle Server/Clients in unserer Domäne verteilt ist. Nun gehe ich gerade den Artikel https://technet.microsoft.com/en-us/library/dn487454.aspx durch und
vergleiche das mit unserer Rule und sehe das die Domain-Admins-Gruppe nicht in:
Richtlinie für alle Server/Workstations in der Domäne:
◦Deny access to this computer from the network
◦Deny log on as a batch job
◦Deny log on as a service
◦Deny log on locally
◦Deny log on through Remote Desktop Services user rights
vorhanden ist, sondern nur ANONYMOUS LOGON und GUESTS
Die Rule für die DCs sieht so aus das in den o.g. 5 Punkten folgendes konfigurirt ist:
◦Deny access to this computer from the Network (Local Account, Guests)
◦Deny log on as a batch Job (Guests)
◦Deny log on as a Service (Guests)
◦Deny log on locally (Guests)
◦Deny log on through Remote Desktop Services user rights (Local Account, Guests)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304071
Url: https://administrator.de/contentid/304071
Printed on: April 18, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo,
ist Deine Umgebung denn auch schon so vorbereitet das Du das so umsetzen kannst ohne Dich rauszuadministreiren?
Diese sicherheitseinstellungen sollen dafür sorgen das man sich als Mitglied der Gruppe der Domänenadmins nicht über RDP, Als Script (Aufgabenplanunng), Dienst oder sogar lokal anmelden darf.
Könnte ziemlich blöd werden, wenn Domain-Admins sich nichtmal mehr am DC lokal anmelden dürfen...
Und wie willst Du dann GPO bearbeiten, wenn eine Anmeldung mit Domainadminrechten auch an einem Client nicht geht, die Server hast Du ja schon tot geschaltet...
Das nicht jeder Admin immer mit Domainadminrechten unterwegs ist, ok, macht vieles einfach aber ist durchaus problematisch.
Was versprichst Du Dir davon?
Gruß
Chonta
ist Deine Umgebung denn auch schon so vorbereitet das Du das so umsetzen kannst ohne Dich rauszuadministreiren?
Diese sicherheitseinstellungen sollen dafür sorgen das man sich als Mitglied der Gruppe der Domänenadmins nicht über RDP, Als Script (Aufgabenplanunng), Dienst oder sogar lokal anmelden darf.
Könnte ziemlich blöd werden, wenn Domain-Admins sich nichtmal mehr am DC lokal anmelden dürfen...
Und wie willst Du dann GPO bearbeiten, wenn eine Anmeldung mit Domainadminrechten auch an einem Client nicht geht, die Server hast Du ja schon tot geschaltet...
Das nicht jeder Admin immer mit Domainadminrechten unterwegs ist, ok, macht vieles einfach aber ist durchaus problematisch.
Was versprichst Du Dir davon?
Gruß
Chonta
Hi,
und wie ist jetzt Deine Frage?
E.
und wie ist jetzt Deine Frage?
E.
Die Frage ist wie müssen die o.g. Regeln aussehen damit ich mich als admin nicht selber aussperre und das mein AD sicher ist.
Möchte nur wissen wie die o.g. Regeln richtig eingestellt sind?
Welche USer, Services, Gruppen müssen hinzugefügt werden????
Möchte nur wissen wie die o.g. Regeln richtig eingestellt sind?
Welche USer, Services, Gruppen müssen hinzugefügt werden????
Die im MS-Artikel genannten Maßnahmen beziehen sich m.E. auf das Szenario, wo es notwendig ist, dass diverse Admin-Konten Mitglieder der Domänen-Admins sein müssen. Warum auch immer. In so einem Fall kann man mit den genannten Maßnahmen die "Allmacht" der Domänen-Admins scheinbar einschränken. Man kann sie damit ja nicht wirklich einschränken, weil jeder Domänen-Admin das Recht zum Bearbeiten der GPO's hat oder sich dieses verschaffen kann. Man behindert sie nur dermaßen, dass sie "abgeschreckt" werden sollen.
Wir haben das bei uns so geregelt, dass von unseren ca. 25 Admins man gerade 3 "standardmäßig" ein Admin-Konto haben, welche Mitglieder der diversen Domänen-Admins sind. Alle anderen Admin-Konten haben "nur" über die Verwaltungsdelegierung ausgesuchte, administrative Berechtigungen zugeteilt bekommen.
Aber wenn Du das so machen willst:
Du hast verstanden, dass das alles Verweigerungen sind? Durch Hinzufügen irgendwelcher Gruppen wirst Du also nicht das Aussperren verhindern können. Eher durch Weglassen.
Ich empfehle Dir dringend, das in einer Testumgebung durchzuspielen. Bis Du es verstanden hast. Erst dann überhaupt in Erwägung ziehen, das im produktiven Umfeld umzusetzen.
Wir haben das bei uns so geregelt, dass von unseren ca. 25 Admins man gerade 3 "standardmäßig" ein Admin-Konto haben, welche Mitglieder der diversen Domänen-Admins sind. Alle anderen Admin-Konten haben "nur" über die Verwaltungsdelegierung ausgesuchte, administrative Berechtigungen zugeteilt bekommen.
Aber wenn Du das so machen willst:
Du hast verstanden, dass das alles Verweigerungen sind? Durch Hinzufügen irgendwelcher Gruppen wirst Du also nicht das Aussperren verhindern können. Eher durch Weglassen.
Ich empfehle Dir dringend, das in einer Testumgebung durchzuspielen. Bis Du es verstanden hast. Erst dann überhaupt in Erwägung ziehen, das im produktiven Umfeld umzusetzen.
