Windows: come "hide" i dettagli di dominio dall'amministratore (dominio)?

Ho una piccola networking basata su Windows nella nostra azienda, incl. un server Win2008 come controller di dominio e un secondo server vecchio Win2003 come tipo di controller di dominio "backup". Ora voglio lasciare che uno dei miei colleghi acceda al server Win2003, incl. Privilegi locali di admin.

Tuttavia, questo account dovrebbe avere solo diritti amministratori locali su quel server, nient'altro. Quindi vorrei principalmente impedire a questo account di accedere o alless modificare le impostazioni di Windows Domain (Active Directory). Né dovrebbe essere in grado di accedere a qualsiasi altra macchina tranne questo vecchio server. Deve essere in grado di (de-) installare programmi e servizi di avvio / arresto su quello però.

Qualsiasi modo per farlo? Grazie in anticipo per il vostro aiuto!

Cordiali saluti, Matthias

  • Mac OSX 10.6 lascia i file aperti su Windows Server
  • Come configurare l'authentication di base in IIS SMTP Server?
  • IIS e Apache sulla stessa casella?
  • Soluzione VPN più semplice del software in Windows Server 2003
  • Bug strano quando si copia da sql studio di gestione server per eccellere in Windows 7
  • Due cartelle utente in documenti e impostazioni
  • Pianificare un'attività da eseguire quando un'altra completa su Windows Server 2003
  • Giustificare un aggiornamento della memory
  • 3 Solutions collect form web for “Windows: come "hide" i dettagli di dominio dall'amministratore (dominio)?”

    Non puoi rendere qualcuno un amministratore in un DC e impedire loro di accedere a cose come ADUC, GPO, ecc. Potresti farli diventare un membro di amministratori integrati nel dominio, che permetterà loro di fare qualsiasi cosa loro vogliono.

    Non ci sono conti locali su un DC.

    Questo è uno dei motivi per cui si utilizzano i controller di dominio solo per Active Directory e DNS e per eseguire altri servizi su altri server. È molto più facile gestire la delegazione ed è molto più sicuro / stabile.

    Metterli nel gruppo Server Operators vi darà quella funzionalità, ma la mia comprensione è che anche loro daranno la possibilità di "aggiornare" i loro account se vogliono poiché hanno diritti di Operatore Server.

    Non sarai in grado di impedire loro di fare nulla quando hanno diritti di "admin level" per un DC.

    Joe Richards su JoeWare ha commentato questo in passato nei suoi blog credo. Fondamentalmente, non concedere a qualcuno l'accesso a un DC se non ti fidi di tutto.

    Solo gettandolo fuori come un'idea perché non so se funziona come se lo volesse o no, ma forse puoi considerarlo aggiungendolo al gruppo Power Users sulla macchina. Questo dovrebbe dargli abbastanza privilegi per installare software sulla macchina. Senza essere in alless il gruppo Domain Admins o concedere esplicitamente autorizzazioni alle informazioni di Active Directory, non credo che possa essere in grado di toccare qualsiasi cosa di quella directory. Forse creare un utente di dominio di prova, metterlo nello stesso gruppo del tuo collaboratore e aggiungerlo al gruppo Power User della macchina e vedere cosa puoi e non puoi accedere.

    Modifica: Vedi il commento di joeqwerty … sembra che il gruppo di utenti di potere non esiste in DC

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.