Toon posts:

NT Domains beheren.

Pagina: 1
Acties:

Verwijderd

Topicstarter
Hallo allemaal,

Ik heb een vraagje over windows domain controllers.
en dan metname over het beheren er van.

ik ben aan het uitzoeken of het mogelijk is dat wanneer je een beheer domain hebt waar de beheerders inwerken en wanneer ze iets bij een klant moeten doen ze dan op die server daar kunnen inloggen met een eigen gebruikers naam en wachtwoord en dan worden gezien als administrators.
de verbinding naar de domain controller van de klant word opgezet via een vpn verbinding.

Afbeeldingslocatie: http://www.g00gle.nl/netwerk.GIF

Het beheerders domain is een Windows 2003 server
en de domain controllers van de klanten zijn 2000 en 2003 servers.

Heeft iemand mischien een idee op welke manier je dit kan instellen, zo dat niet iedereen van het beheer het administrator wachtwoord hoeft te weten.

Alvast bedankt.

groeten,

Gert Jan.

  • Bas_je
  • Registratie: Augustus 2003
  • Laatst online: 03-03-2025
Trusted domains? Forest?

while ( !$succeed ) { $try++ }


  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

De betreffende gebruikers in de Domain Admins groep gooien?

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • Leon T
  • Registratie: Juni 2001
  • Niet online

Leon T

Ni!

Hoe permanent zijn die VPN verbindingen? De makkelijkste oplossing zou zijn forest trusts aan te maken met selective authentication tussen jouw forests en beide te beheren forests en dan dmv universal groups je gebruikers toe te voegen aan de admin groepen. Volgens mij moet je dan echter wel een vrij permanente verbinding hebben.

Als alternatief kan je in beide klantforests een aantal useraccounts aanmaken (beheer1, beheer2, etc) en zodra er iemand is die daar toegang toe moet krijgen hiervan het wachtwoord geven en het gebruik ervan auditten.

[ Voor 7% gewijzigd door Leon T op 26-10-2006 10:13 ]


  • Equator
  • Registratie: April 2001
  • Laatst online: 16-02 13:40

Equator

Crew Council

#whisky #barista

Combineer:
En:
_DH schreef op woensdag 25 oktober 2006 @ 22:18:
De betreffende gebruikers in de Domain Admins groep gooien?
Dan ben je er. (Wel in de Domain Admins van het domain van de klant)

Overigens heeft dit weinig met Netwerken te maken, maar meer met Windows Servers & Software.
Dus move ik deze even.

  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 16-02 08:48
Forest trust is alleen maar beschikbaar tussen Windows 2003 forests.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

one-way trusts lijkt me wel verstandig dan.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • thund3rball
  • Registratie: Oktober 2006
  • Laatst online: 15-07-2025
Mag ik vragen waar deze opzet uberhaupt goed voor is? :?
Wat wil je bereiken met bovenstaande verhaal? Waar zit de win/win (klant/beheer)?

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik zie het punt ook niet helemaal, immers zorg je toch voor een goeie digitale vastlegging van je klant-beheergegevens?
Ok, met trusts hoef je niet elk user/password ding op te zoeken maar kom op zeg..

Als je trusts wil gaan gebruiken voor remote beheer taken moet je je toch ernstig af gaan vragen of je niet beter een andere monitoring/management setup kan kiezen.
Wel eens van Kaseya gehoord?

[ Voor 12% gewijzigd door alt-92 op 29-10-2006 01:04 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Topicstarter
Het is dat bedoeling dat niet iedere keer het administrator wachtwoord nodig is, op het moment dat iemand word ontslagen hoef je alleen maar in het eigendomein die user te verwijderen en hij kan niet op de servers van de klanten inloggen.
en je hoeft niet voor iedere server van de klant een wachtwoord te onthouden maar gewoon overal je eigenwachtwoord :D

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-02 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op zondag 29 oktober 2006 @ 23:33:
Het is dat bedoeling dat niet iedere keer het administrator wachtwoord nodig is, op het moment dat iemand word ontslagen hoef je alleen maar in het eigendomein die user te verwijderen en hij kan niet op de servers van de klanten inloggen.
Hoe groot is het personeelsverloop dan bij jouw werkgever die deze opzet rechtvaardigt? Overigens neem ik aan dat, als een beheerder ontslagen wordt, dat je dan ook de wachtwoorden van alle service-accounts aan gaat passen?

[ontopic]
Maar goed zoals al gemeld: met het opzetten van Trusts zoals Equator al gemeld heeft, is SSO goed mogelijk.
[/ontopic]

[ Voor 12% gewijzigd door Question Mark op 30-10-2006 08:45 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op zondag 29 oktober 2006 @ 23:33:
Het is dat bedoeling dat niet iedere keer het administrator wachtwoord nodig is, op het moment dat iemand word ontslagen hoef je alleen maar in het eigendomein die user te verwijderen en hij kan niet op de servers van de klanten inloggen.
en je hoeft niet voor iedere server van de klant een wachtwoord te onthouden maar gewoon overal je eigenwachtwoord :D
Oftewel:

Hoe kan ik goedkoop al mijn klanten het bokkie laten worden van mijn geklungel als beheertoko?

Waar werk je? Dan weet ik waar ik met een grote boog omheen moet gaan ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Als je je klanten wilt beheren zonder iedereen administrator ofzo te maken, dan zal je gewoon op de domeinen die je beheert de juiste rechten uit moeten delen. Of je dat nu doet door een oneway trust te maken en beheerdomain\pietje vervolgens de juiste rechten geeft op domain A en domain B. of voor pietje op beide domains een account aanmaakt en deze accounts de juiste rechten geeft.

Mijn voorkeur gaat overigens uit naar de tweede oplossing. omdat als pietje dan lokaal zit te kutten, dit geen gevolgen kan hebben voor de klanten, aangezien dit andere accounts zijn.

Wil je nog meer controle hebben, zou je moeten gaan denken aan citrix ofzo. Deze server dan in een apart segment zetten en beheer alleen toestaan vanaf deze server. Zo kan je alleen alleen de applicaties op laten starten die voor remote beheer nodig zijn, geen installs van vage tools toestaan, etc. en evt virussen etc op jullie eigen netwerk heeft ook geen direct gevolg voor klanten.

[ Voor 29% gewijzigd door Verwijderd op 31-10-2006 19:46 ]

Pagina: 1