[2003] Administrator met beperkte rechten

Pagina: 1
Acties:

  • nickbear
  • Registratie: Juni 2004
  • Laatst online: 06-01 02:04
Beste mensen,

Misschien een raar probleempje.

Ik ben beheerder van een netwerk, waar ik niet altijd aanwezig ben. Er is hier een persoon aangewezen die bepaalde taken moet kunnen uitvoeren. Hij moet kunnen back-uppen, gebruikers kunnen toevoegen/verwijderen, bepaalde mappen de instellingen kunnen wijzigen etc...
Dus ik heb deze persoon toegvoegd aan de groep Administrators en Domain Admins.

Hij map in bepaalde vertrouwelijke mappen niet komen, en zo heb ik dus zijn gebruikersnaam geweerd bij verschillende mappen, die ook niet voor deze persoon zichtbaar zijn door het access-based enumeration applicatie, so far so good....

Maar hoe voorkom ik dat deze persoon het Administrator password kan wijzigen of andere administrators kan aanmaken...want als deze persoon dat doet, kan hij alsnog bij de vertrouwelijke bestanden, en dat is niet de bedoeling.

Kan dit uitgeschakeld worden in een GPO o.i.d.!? Of pak ik het helemaal verkeerd aan? Kan ik hem beter in een andere groep toevoegen dan de Administrators groep!? Alvast bedankt voor jullie hulp...

  • Outerspace
  • Registratie: Februari 2002
  • Nu online

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

nickbear schreef op maandag 14 november 2005 @ 10:14:

Kan dit uitgeschakeld worden in een GPO o.i.d.!? Of pak ik het helemaal verkeerd aan? Kan ik hem beter in een andere groep toevoegen dan de Administrators groep!? Alvast bedankt voor jullie hulp...
Volgens mij kan je dit soort dingen in een GPO aanpakken. Maar het is volgens mij slimmer om hem in een aparte groep te gaan gooien, en wat alles met policies dicht timmeren.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Zolang de persoon Administrator is kan deze ongeacht de permissies die jij zet zichzelf overal toegang verschaffen.

Beter zou denk ik zijn "Backup Operators" met wat gedelegeerde bevoegdheden :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Je kan diegene ook PowerUser maken. Dan kan hij wat meer zoals backups draaien software installeren etc. Om Users aan te mogen maken kun je Delegate control doen en deze gebruiker expliciet rechten geven om in een OU users aan te mogen maken. Je kunt een account echt heel beperkt maken maar kost wel even de nodige aandacht.

Verwijderd

sanfranjake schreef op maandag 14 november 2005 @ 10:23:
Zolang de persoon Administrator is kan deze ongeacht de permissies die jij zet zichzelf overal toegang verschaffen.

Beter zou denk ik zijn "Backup Operators" met wat gedelegeerde bevoegdheden :)
Geen gebruikers in de backup operators groep stoppen aub. Dit is een vrij aparte groep, want deze groep kan ook bestanden benaderen waar er een explicite access denied is. Ideaal voor service accounts voor backup programma's, maar absoluut niet voor een backup operator. Server operator (power user) en delegations via policies gebruiken.