none
trotz Admin auf DC keine umfassenden Rechte RRS feed

  • Frage

  • Hallo zusammen,

    aufgrund von least privilege principle möchte ich gerne mit meinem Admin Account einen Domain Controller warten können ohne aber tatsächlich Domain Admin Rechte zu haben.

    Ich habe es geschafft mich via RDP zu verbinden. Dann habe ich für alle anderen Server eine GPO die mich in die lokale Admin Gruppe schiebt. Diese GPO hängt auch am Domain Controller und scheint zu tun. 

    Nun habe ich aber das Problem, dass wenn ich z.b. services.msc starten möchte, dass die UAC kommt. Diese kann ich mit meinem Credentials bestätigen und die Service Console öffnet sich. Jetzt kann ich aber keinen Dienst beenden oder starten.

    Wie bekommt man es hin, dass auf einem DC ein Domain Account lokale Admin Rechte bekommt - wohl wissentlich, dass es keine lokalen Gruppen mehr gibt.

    Das Netz ist zwar voll von Threads dieser Art aber keiner der gefundenen führte zu einer Lösung.

    VG Wolfgang

    Mittwoch, 11. August 2021 07:50

Alle Antworten

  • Wie schon mal hier in einem anderen Thread beschrieben:
    Ein Admin ist ein Admin und kann daher in seinen Adminrechten nicht beschränkt werden.
    Um eine Domain warten zu können muss man halt ein Admin dieser Domain sein.
    Dass lokale Admins alles dürfen ist ja nun mal vorbei.
    Mittwoch, 11. August 2021 07:53
  • Moin,

    auf einem DC gibt es keine lokalen Accounts oder Gruppen. Du kannst in den Security Policies irgendwelchen AD-Accounts und -Gruppen spezifische Rechte zuweisen (z.B. Herunterfahren, oder ein Skript starten), aber wenn Du nicht aufpasst, hat das Account dann doch so gut wie Domain Admin-Rechte.

    Die eigentliche Antwort auf Deine Herausforderung ist delegierte Administration mit JEA.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Mittwoch, 11. August 2021 09:04
  • Was hat nun die DNS Konfiguration mit Berechtigungsproblemen zu tun?
    Montag, 16. August 2021 08:23