• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Least Privileg: Minimale Berechtigungen um Computer ins AD zu joinen

Mrz 21, 2016 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow |

 

Welche Berechtigungen sind nötig um einen Computer zu einer Domäne hinzuzufügen?

Ein granular ausgearbeitetes Delegationskonzept hat das Ziel, möglichst nur die zur Ausführung der zugewiesenen Rolle benötigten Rechte zuzuweisen.

AD Delegation mit minimalen Berechtigungen

Anders herum beschrieben könnten wir allen Admins Domain Admin Rechte geben und jeder könnte arbeiten. Wollen wir jedoch wirklich jedem Helpdesk Mitarbeiter Domain Admin Rechte geben? Ich denke nicht. Daher stellt sich die Frage, welche Berechtigungen zum Joinen eines Computers wirklich benötigt werden. Gemäß dem principle of least privileg (POLP) möchte ich versuchen die Frage zu beantworten.

Vorrausetzungen für die Delegation

Voraussetzung für diese Delegation ist, dass die Computerobjekte „prestaged“ sind. Bedeutet, dass vorab von zentraler Stelle leere Computerobjekte in der richtigen OU angelegt wurden. Diese Vorgehensweise kann ich nur empfehlen. Ohne „prestaged“ Computerobjekte landen alle Objekte im Computers Container der Domain. (Oder man hat den Standard Container, wie in Tims Artikel beschrieben, geändert) Von dort aus müsste das Computerobjekt noch in die richtige Ziel OU verschoben werden. Um das Computerobjekt in die Ziel OU zu verschieben sind Delete-Berechtigungen auf dem Computers Container sowie Create-Berechtigungen auf der Ziel OU nötig. Diese hohen Berechtigungen sollten vermieden werden.

Minimale Berechtigungen um Computer in die AD Domäne hinzuzufügen

Auf der Ziel OU, in welcher die „prestaged“ Computerobjekte angelegt wurden, sind folgende Delegationen nötig:

Apply to:  Descendant Computer objects
Allow:       Reset password
Allow:       Validated write to DNS host name
Allow:       Validated write to service principal name
Allow:       Read account restrictions
Allow:       Write account restrictions

Weiterführnde Informationen bietet der folgende Microsoft KB Artikel:
https://support.microsoft.com/kb/932455/en-us

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 06.01.2012
Tags: BerechtigungjoinLeast Privileg
1

You also might be interested in

NTFS-zugriff-freigabe-ohne-berechtigung

NTFS: Lokale Gruppen Benutzer, Administratoren und UAC

Sep 7, 2015

Lese- oder Schreibrechte auf File Servern, die Benutzer über Berechtigungsgruppen[...]

snippet-inkonsistene-berechtigung

Inkonsistente Berechtigungen im Global Catalog

Jan 29, 2015

Wer mit Hilfe von Active Directory Gruppen Berechtigungen auf Ressourcen[...]

ntf-authorization-creator-owner-berechtigung

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Okt 23, 2015

Einführung und Beschreibung der Creator Owner-Berechtigung. Potentielle Gefahren die von[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next