AD Sync

29/05/2009 - 09:52 von Heinz Mannhofer | Report spam
Hallo zusammen,
ein Kunde von uns hat einen Kommunikationsserver mit Win2003 (Domànen
Member) für die mobile Fernarbeit. Die Kommunikationssoftware gleicht einmal
pro Tag die Benutzer und Gruppen mit dem Active Directory ab. Momentan hat
der Windowsbenutzername auf dem Kommunikationsserver Domànen-Admin Rechte.
Ich würde diese aber gerne wegnehmen und nur die notwendigen Rechte dem
Benutzer geben. Über diesen Windowsbenutzer hat auch die
Kommunkationssoftware Zugriff auf das AD.

Die Kommunkationssoftware kann momentan auch die Kennwörter der einzelen
User àndern.

Ich möchte damit erreichen, dass ein Eindringling auf den
Kommunkationsserver nicht ohne weiteres das Hauptadmin Kennwort àndern kann
und so über alles Zugriff bekommt.

Danke im Voraus.

Heinz
 

Lesen sie die antworten

#1 Steinsdorfer Walter
29/05/2009 - 14:07 | Warnen spam
Hi,

ein Kunde von uns hat einen Kommunikationsserver mit Win2003 (Domànen
Member) für die mobile Fernarbeit. Die Kommunikationssoftware gleicht
einmal pro Tag die Benutzer und Gruppen mit dem Active Directory ab.
Momentan hat der Windowsbenutzername auf dem Kommunikationsserver
Domànen-Admin Rechte. Ich würde diese aber gerne wegnehmen und nur die
notwendigen Rechte dem Benutzer geben. Über diesen Windowsbenutzer hat
auch die Kommunkationssoftware Zugriff auf das AD.



Domànenadminrechte zum Benutzerauslesen ist etwas viel. Dafür reichen
normale Benutzerrechte. Jeder Benutzer kann das AD nach anderen Benutzern
durchsuchen, das sollte ja für die Software auch reichen. Um welche gehts
denn dabei?


Die Kommunkationssoftware kann momentan auch die Kennwörter der einzelen
User àndern.




Naja, mit Domàneadminrechten kein Wunder.


Ich möchte damit erreichen, dass ein Eindringling auf den
Kommunkationsserver nicht ohne weiteres das Hauptadmin Kennwort àndern
kann und so über alles Zugriff bekommt.





naja, für mehr Sicherheit kann man aber bestimmt noch mehr tun. Den
Domànenadmins zum Beispiel keine lokalen Adminrechte geben und auf strikte
Kontentrennung bestehen. Schau mal unter www.gruppenrichtlinien.de, Vergabe
zentraler Berechtigungen.

Viele Grüsse aus München

Walter Steinsdorfer
MVP Exchange Server
www.exusg.de
http://msmvps.com/blogs/wstein

Ähnliche fragen