UCS Domänen Admin ungleich Windows Domänen Admin

german

#1

Zu recht wird durch einen Kollegen moniert das der Domänen Administrator nicht die selben rechte hat wie der Windows Domänen Administrator.
Sprich. Freigaben können nicht per Default als Domänen Administrator geöffnet werden wenn nicht extra die rechte gesetzt werden.
Wenn man sich jedoch als Administrator in der Domäne anmeldet klappt dies jedoch. Das ist aber keine Lösung das jeder Admin im Haus sich mit diesem Account einloggt. Da streikt schon der gute Sicherheitsbeauftragte :slight_smile: Also meine Frage ist konkret: Wie verleiht man einen Mitglied der Gruppe Domänen Administrator “richtige” Administrator Rechte.


#2

Ich würde ad-hoc die Gruppen vergleichen in denen sich die beiden Benutzer (Administrator und dedizierter Admin) befinden und dann entsprechend anpassen.

Thema:
– Einloggen als Benutzer “Administrator” – versus – Einloggen als Benutzer mit genau den gleichen Rechten wie der “Administrator” –

Ich verstehe jedoch nicht warum das letztere besser sein soll als das erste. Im Gegenteil: das erstere ist sicherer, da es erfordert sich neu anzumelden und die Anzahl der Benutzer mit Kenntnis des Passworts idealerweise beschränkt ist. Ähnlich dem Linux - Prinzip des root Benutzers.


#3

Das habe ich selbstverständlich schon getan. Ich kann mir nicht vorstellen das es bisher niemanden stört. Per default ist überall besitzer und gruppe erst einmal root. Is ja auch gut so. Aber sämtliche freigaben nach zu editieren ist dumm. Als administrator anmelden ebenso da dann niemand sagen kann welcher der Admins wo angemeldet war. Das hat nichts mit vertrauen zu tun sondern schlicht mit der IT-Sicherheit welche fordert das man namentlich authentifiziert wird. also scheint der administrator auf root gemapt zu sein.
Wie händeln es denn andere “ehemalige” Windows Admins mit UCS?


#4

Hallo,

ggf. hilft bereits dieser Link: https://docs.software-univention.de/manual-4.1.html#shares::general Unter: https://docs.software-univention.de/manual-4.1.html#shares::management wird auch auf die Berechtigungen für Shares eingegangen.

Mit freundlichem Gruß,
Jens Thorp-Hansen


#5

Also können Sie mir so direkt dann nicht weiter helfen. Finde es ungewöhnlich da Sie ja Microsoft “beerben” möchten.
Ich hätte angenommen das es dort schon bekannte Standards gibt. Somit hat es einen bastelcharakter wenn man sich erst alles zusammenlesen muss.
Immerhin kommt uns ihre Lösung nicht wirklich günstiger als eine Microsoft ad.


#6

Wenn ich das richtig verstanden habe, haben Sie konkret Schwierigkeiten beim Management von Shares (Administratorzugriffe) Daher der Hinweis auf unser Handbuch und dem Kapitel der Shares. Hier finden Sie auch die Standards: Sie können Freigaben mit erweiterten Rechten versehen um Ihren dedizierten Administratoren erweiterte Rechte zu geben (das ist im Nachhinein und bei der Ersterstellung bequem möglich über die UMC - ggf. auch per “Mehrfachbearbeitung”). Sie können jedoch nicht (und sollten nicht) aus normalen Benutzern “root”-Benutzer machen wie es im Windows Umfeld ggf. möglich ist.

Für weitere Einsatzerfordernisse für dedizierte Administratoren müsste man das im Einzelfall sehen, fragen Sie gern gezielt.