Domänen-Admin aussperren

26/08/2009 - 12:38 von Ron Schauer | Report spam
Hallo Freunde,

ich möchte in einer Subdomàne, daß niemand aus der Hauptdomàne bestimmte
Verzeichnisse lesen kann. Da ich nur die Subdomàne administrieren darf, weiß
ich nicht, wer alles Administratorrechte in der Hauptdomàne hat. Genügt es,
den betreffenden Verzeichnissen den Zugriff für die Gruppen
Domànenadmins@hauptdomàne und domànenbenutzer@hauptdomàne zu verwehren oder
gibt es da dennoch Hintertüren, mit denen man aus der Hauptdomàne an die
Daten der Unterdomàne kommt?

Danke
Ron
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
26/08/2009 - 14:11 | Warnen spam
Howdie!

Ron Schauer schrieb:
ich möchte in einer Subdomàne, daß niemand aus der Hauptdomàne bestimmte
Verzeichnisse lesen kann. Da ich nur die Subdomàne administrieren darf, weiß
ich nicht, wer alles Administratorrechte in der Hauptdomàne hat. Genügt es,
den betreffenden Verzeichnissen den Zugriff für die Gruppen
Domààne und domààne zu verwehren oder
gibt es da dennoch Hintertüren, mit denen man aus der Hauptdomàne an die
Daten der Unterdomàne kommt?



Du müsstest die Built-in-Domànengruppen, "Administratoren" und
"Domànen-Admins" durchsuchen und Benutzer aus der Parent-Domàne aus den
Gruppen werfen (dazu gehört auch der Enterprise Admin!) um sicher zu
gehen. Administratoren können sonst Besitz von Dateien übernehmen und
sich selbst Rechte gewàhren. Ob du die Hauptdomàne wirklich aussperren
willst, musst du dir gut überlegen.

Vielleicht reicht es ja auch aus, die Berechtigungen auf NTFS-Ebene zu
regeln und den Hauptdomànlern den Zugriff zu verwehren - und
gleichzeitig das Auditing für die betreffenden Verzeichnisse zu
aktivieren, um bei Zugriff oder Rechtsverànderung informiert zu werden.

Cheers,
Florian
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.ph...ilingliste

Ähnliche fragen